¿Quieres que se lo pongamos un poco más difícil a los hackers?
Seguro que tu respuesta es un sí rotundo, o eso espero. Te invito a seguir leyendo para conocer algunos casos anecdóticos de información privada y sensible que estaba ahí, a la vista de todos, pero no la “vimos” hasta que era tarde. También te voy a enseñar algunas técnicas sencillas que utilizan los hackers en lo que se llama “ingeniería social” que te ayudarán a evitar que expongamos nuestros datos confidenciales.
Regla #1: La ciberseguridad empieza en uno mismo ✋
Hay muchos usuarios que continúan siendo un colectivo vulnerable y en algunos casos no perciben la inseguridad y no ponen los medios mínimos necesarios para protegerse. En ocasiones es desconocimiento del impacto que puede tener el caer en uno de estos delitos, no saber cómo evitarlos, y en otras ocasiones se ve como algo irreal o de películas de ciencia-ficción.
Los ciberataques ocurren principalmente por dos motivos:
- Por vulnerabilidades en los sistemas informáticos
- Por el engaño a las personas. La ingeniería social formaría parte de este grupo. Pero veréis que muchas veces no es necesario llegar al engaño, sino que somos nosotros mismos quienes damos la información sin darnos cuenta de que lo estamos haciendo.
?¿Sabes como funciona un ciberataque??
Hay demasiada información personal disponible en las redes sociales. A diario compartimos de forma voluntaria ubicaciones y hábitos mediante aplicaciones deportivas (para running o cuando hacemos ciclismo), o por medio de fotografías o vídeos en tiempo real en redes sociales (Instagram, YouTube, Facebook, etc.), mediante los cuales se pueden obtener perfiles de comportamiento de una persona con bastante fiabilidad.
Ejemplos de famosos “cazados” que no aplicaron la Regla #1 ?
¿Quién no conoce la publicación de imágenes en redes sociales que contienen más información de la que se deseaba? Casos celebres de personajes famosos o relevantes que han compartido información más o menos confidencial en redes sociales por error, y nada mejor que ver los siguientes ejemplos:
Paula Vazquez compartió en Twitter un parte médico (el simple hecho de compartir información médica ya es un despropósito por si solo) dónde, además de los datos médicos se podía ver su número de teléfono personal y su dirección. La información empezó a propagarse por la red y pese a que borró el mensaje cuando fue consciente de ello, el daño ya estaba hecho y el teléfono recibió cientos de llamadas y mensajes.
El ex futbolista Manolo Sanchis publicó por error su lista de la compra en Twitter. Este hecho no pasaría de ser una anécdota si no fuese porque alguno de los artículos anotados eran balas y Brandy, peligrosa combinación…
? Aquí tienes algunos consejos para mejorar la seguridad de tus redes sociales?
¿Y si hay información sensible expuesta? ?
Hay casos de personajes más relevantes para los que la información comprometida fue publicada en medios de comunicación con datos que para el ojo experto exponen más información que para el resto.
Este último caso pasó inadvertido en la publicación del artículo, pero posteriormente fue explotado para enviar SMSs a la población de Hawái informando de un ataque con misiles que no era real, pero que desató el pánico. Este es un buen ejemplo de que algo tan sencillo como una foto del lugar habitual de trabajo puede mostrar más información de la que crees.
Respecto al riesgo de anotar las contraseñas de ese modo y tenerlas en lugares visibles, escribiremos otro artículo hablando de los ataques desde dentro. Los llamados Insiders.
Estos casos comentados han servido de ejemplo por su repercusión, por el impacto que han tenido o por la relevancia de la información publicada, pero no solo los “famosos” o los medios de comunicación exponen datos, y no solo ellos disponen de información relevante. Todos tenemos datos valiosos que hay que cuidar.
El Shoulder Surfing, una de las técnicas más sencillas que un hacker puede utilizar ?
Además de la información que compartimos, está la información que no protegemos como ya has visto con los ejemplos anteriores. Para estos ataques, no hace falta pensar en técnicas de ataques complejas.
En el transporte público se accede a redes sociales o aplicaciones bancarias sin reparar en los ojos que pueden estar mirando, lo mismo que pasa cuando introducimos el PIN en el cajero automático para sacar dinero.
Estas técnicas reciben el nombre: shoulder surfing, o mirar por encima del hombro. Y aunque pueda parecer trivial, de nuevo un ojo experto es capaz de descubrir información relevante en la acción más sencilla y cotidiana.
No hay que alarmarse, pero tampoco debemos relajarnos, basta con tomar algunas precauciones. Imagina esta situación: estás pagando con la tarjeta en un comercio y por el importe de la compra se nos solicita el PIN de la tarjeta. Lo introduces en el datafono sin tomar la precaución de tapar con la otra mano el teclado porque ves que el dependiente no está mirando y tampoco hay nadie alrededor que pueda afinar el ojo, con estos estarías evitando el shoulder surfing, ¿verdad? Pero, ¿y las cámaras de seguridad del local que habitualmente apuntan a los mostradores?
Nadie está exento de ser atacado o caer en un fraude, por lo que debemos estar siempre atentos para poner las cosas verdaderamente difíciles a los atacantes. Con la concienciación se puede conseguir reducir drásticamente los casos en que estos ataques tengan éxito, a nivel empresarial y de usuario. Y con la educación y formación a niños se puede asegurar un futuro más complicado para los hackers, además de proteger el grupo de población que quizás sea más vulnerable a estos ataques por confianza, desconocimiento o inocencia.
Vamos a acabar con un reto. La siguiente imagen la publicó Lisa Kudrow (seguro que la conoces como Phoebe en Friends) en Instagram para hacerse eco de un artículo que se publicó con su nuevo trabajo. Seguro que, aunque la resolución de la imagen no sea la mejor, ya sabes dónde mirar:
Aunque sé que a estas alturas no lo vais a necesitar, aquí tenéis la solución:
? ¡Sé precavido, que vale por dos! ?
Carlos Seco
Santander Global Tech
Varios años de trabajo en diferentes áreas de la ciberseguridad han hecho que cada día tenga más incógnitas, más curiosidades y más gusto por mi trabajo.
