Imagen: Centro Criptológico Nacional
MARTÍN Consultou o seu correo electrónico nun cibercafé ou outra rede wifi comunitaria? É dos que repiten o seu contrasinal no móbil, conta bancaria en liña e mesmo nas súas redes sociais? Pois debe saber que a súa identidade dixital corre perigo. Javier Candau, xefe de Ciberseguridade do Centro Criptolóxico Nacional, dá nesta entrevista varios consellos para protexerse en Internet: entre eles, como crear unha clave máis segura, saber cando un ciberdelicuente pode apropiarse das súas credenciais e nunca consultar contas persoais -como o correo electrónico- en sitios pouco seguros.
Se somos demasiado confiados? Debido á facilidade de uso, non nos expomos a seguridade como unha tarefa diaria e pecamos de exceso de confianza. Un hacker non é unha ameaza per se. A ameaza son os ciberdelincuentes que utilizan as súas habilidades de hacking para aproveitarse do noso exceso de confianza ou da nosa falta de coñecemento das novas tecnoloxías para obter un beneficio. Aínda que non debemos ser paranoicos ao navegar por Internet, si que hai que estar vixiantes e seguir unhas pautas mínimas para estar razoablemente seguros. Todos aqueles actos delituosos do mundo real que sexan susceptibles de ser cometidos no mundo virtual son unha oportunidade para os atacantes que se escudan no anonimato que lles permite a Rede.
“Non hai unha fórmula máxica que nos permita estar seguros ao 100% en Internet, a única fórmula é converter a seguridade nun hábito”A priori non é fácil saber se o noso contrasinal foi comprometida. A detección dalgún tipo de código daniño no noso computador ou na rede á que esteamos conectados debe facernos sospeitar de que tanto as credenciais como outro tipo de información sensible puidéronse ver comprometidas. Igualmente, unha mala praxe, como acceder a certos servizos (correo electrónico, banca en liña, etc.) a través de equipos de terceiros (cibercafés, hoteis, etc.) ou conectarse a Internet mediante redes wifi públicas, susceptibles de ser explotadas, debe manternos alerta. Noutras ocasións, é posible que detectemos pequenos comportamentos anómalos no noso equipo -como lentitude, apertura de xanelas, etc.- que nos deben facer sospeitar de que algo anómalo está a suceder.
Existen algunhas salvagardas proporcionadas polos provedores de programas. Ademais, moitos servizos de correo electrónico, como Gmail ou Windows Live, notifican cando o acceso do IP (o número que identifica a cada dispositivo dentro dunha rede) non corresponde ao país orixe ou xeran outras alertas baseadas en comportamentos non habituais, que deben alertarnos.
Ademais, hai numerosos servizos web que recompilan información de filtracións masivas públicas de credenciais procedentes de diferentes entidades. Habitualmente trátase de información sobre contas de correo electrónico, de servizos na nube ou de plataformas de streaming , entre outras. Algúns destes servizos son: Have I been pwned?, Hacked-e-mails, We Leak Info ou IsLeaked. Pero hai que ter en conta que a información que manexan pode non estar completamente actualizada nin verificada. Tampouco podemos estar seguros de que os datos de procura que introduzamos nestas páxinas sexan manexados co nivel de protección requirida por parte do propietario. Por iso, a recomendación é non buscar datos completos nin utilizar comodines co asterisco (*) para unha procura máis anónima e xenérica.
No caso de que sospeitemos ou teñamos seguridade de que nos roubaron os contrasinais, é imprescindible cambialas. Así mesmo, é importante realizar un exercicio de memoria para lembrar en que lugares, computadores, páxinas web, etc. utilizáronse. O obxectivo é tentar atopar a orixe do roubo.
Non existe un dato concreto a nivel nacional, pois moitos destes roubos ou non se denuncian ou pasan inadvertidos para a propia vítima. Ademais, os datos habitualmente publicados corresponden ao envorcado de bases de datos de grandes provedores de diferentes servizos de ámbito global.
“O contrasinal perfecto non existe, pero si podemos crear contrasinais que sexan dificilmente vulnerables”A resposta rápida é non, porque se demostrou que o que era imposible roubar antes si é posible roubar agora. En calquera caso, hai que diferenciar entre a dificultade para poder pescudar o contrasinal mediante forza bruta (probando todas as combinacións posibles) e os medios de almacenamento dos contrasinais.
O Centro Criptolóxico Nacional recomenda o emprego de claves que sexan dificilmente vulnerables: contrasinais longos, que inclúan caracteres en maiúscula e números, así como caracteres especiais. Como contrapartida, o uso dunha clave moi segura que non sexa fácil de lembrar pode pola en cuestión. De nada sérvenos ter un contrasinal robusto, se a apuntamos nun pósit á vista de todo o mundo. Por iso, debemos buscar un equilibrio apoiándonos en xestores de contrasinais ou empregar frases para poder lembrala con maior facilidade.
Si, é máis frecuente do desexable, especialmente se o sistema en cuestión non impón ningunha limitación. Por fortuna, moitas aplicacións e sistemas de control de acceso a redes informáticas xa non permiten introducir contrasinais “de dicionario”, facilmente adivinables, senón que obrigan a que teñan una certa robustez.
Nas guías do Centro Criptolóxico Nacional de boas prácticas, dirixidas ao público en xeral, realizamos unha serie de recomendacións para manexarnos dunha forma un pouco máis segura por Internet: ‘CCN-CERT BP-01/16 Principios e recomendacións básicas de ciberseguridade‘, ‘CCN-CERT BP-06/16 Navegadores web‘ e ‘CCN-CERT BP-02/16 Correo electrónico‘. Así mesmo, o centro creou recentemente unha plataforma de desafíos de ciberseguridade, chamada Atenea, para que calquera persoa que teña inquietudes neste campo e queira aprender máis poida de facelo dunha forma entretida. Con todos estes recursos tentamos transmitir os conceptos e pautas que hai que ter en conta para que a ciberseguridade sexa algo cotián, e desmitificar que esta sexa só para uns poucos. Non hai unha fórmula máxica que nos permita estar seguros ao 100%, a única fórmula é converter a seguridade nun hábito.
