Seguridad en línea para los socialistas: lo esencial
Written by Socialism.tools Admin
Published octubre 10, 2021

Puntos esenciales de seguridad

Es difícil mantenerse seguro en Internet. Mucha gente nunca aprendió a utilizar los ordenadores de forma segura en la escuela, e incluso si lo hicieron, lo que aprendieron probablemente ya esté obsoleto. No faltan guías que prometen ayudar, pero muchas de ellas son de empresas que venden un producto, no ofrecen recomendaciones concretas sobre lo que hay que hacer como resultado, o son incorrectas o no son relevantes para personas que no son muy técnicas.

Esta guía ha sido diseñada para ser concisa y fácil de leer por todos - no se presupone ningún conocimiento previo. Sin embargo, no es sólo una lista para tachar, sino que voy a hacer todo lo posible por explicar los conceptos relevantes para la seguridad en Internet a lo largo del camino. Espero que al final de esta guía no sólo estés más seguro, sino que también entiendas mejor los ordenadores e Internet que cuando empezaste.

zona nerd

información adicional para el lector con conocimientos técnicos

Si ya eres una persona muy técnica, gran parte de esta guía puede ser una revisión, pero los comentarios sobre mis reccomendaitons son siempre bienvenidos.

Esta guía es una opinión. Por lo general, recomiendo una forma %22correcta%22 de hacer las cosas en lugar de enumerar muchas alternativas similares.

Empezar de forma sencilla

Empecemos por lo más importante que puedes hacer para proteger cualquiera de tus cuentas online: la autenticación de dos factores (2FA), a veces llamada autenticación multifactor (MFA). Esto es fácil de hacer, y es posible que ya lo uses sin saber el nombre. Si su banco le envía un código para que lo introduzca después de haber introducido su nombre de usuario y contraseña, ¡felicidades! Ya estás usando 2FA. Tu número de teléfono - verificando que la persona con el número es la misma que conoce esa contraseña - es el segundo factor (el primero es tu contraseña).

Algunos servicios (por lo general, los bancos) no te permiten elegir el segundo factor que utilizas. Muchas redes sociales y empresas más tecnológicas te permiten utilizar un número de teléfono, un código TOTP o una clave de seguridad. Las claves de seguridad son las más seguras, seguidas de los códigos de un solo uso (generados por una aplicación) y, por último, los códigos SMS (de texto), pero incluso los códigos SMS son mucho más seguros que el uso de una sola contraseña.

el problema de los códigos de texto

Los códigos de texto son geniales, y para la gran mayoría de la gente, la gran mayoría de las veces, funcionan muy bien. Sin embargo, tienen dos grandes vulnerabilidades. La primera es que hay ataques que los malos pueden utilizar para robar tu número de teléfono. Para ello, llaman a su proveedor de telefonía móvil con algunos de sus datos y fingen que quieren transferir su teléfono a un nuevo número. Una vez que tienen tu número, utilizan tu contraseña (que suelen conseguir en una filtración) y el código de texto que ahora pueden conseguir para robar tu cuenta. Asegúrate de conocer las preguntas de seguridad o el PIN de tu proveedor de telefonía móvil para tu cuenta, y haz que sean difíciles de adivinar o de encontrar en Internet (¡no utilices el nombre de tu mascota!) También es posible, aunque menos probable, piratear las redes directamente para hacerlo, pero no deberías preocuparte por ello.

El segundo problema con los códigos de texto es el phishing. Vamos a hablar de la suplantación de identidad un poco más tarde.

códigos de un solo uso

Las contraseñas de un solo uso basadas en el tiempo (TOTP) funcionan de forma similar a los códigos de texto. Por lo general, se utiliza una aplicación para obtener el código de un solo uso, y el código cambiará cada minuto aproximadamente. Cuando activas los códigos TOTP para proteger tu cuenta, los ordenadores hacen algunas locuras matemáticas para generar claves basadas en el tiempo. Básicamente, cada parte del proceso de inicio de sesión (el servidor y tu aplicación TOTP) tiene un algoritmo para averiguar un número especial basado en la hora actual. Cuando te conectas, comparas tu número con el que tiene el servidor, y si coinciden, puedes conectarte. Esto le permite evitar los tipos de hacks que pueden afectar a las cargas móviles.

Sin embargo, de nuevo, esto no te ayuda contra el phishing. El phishing es el tipo más común al que te vas a enfrentar - probablemente lo hayas visto antes - y los atacantes son cada vez más sofisticados. Vamos a profundizar en el phishing y en el método de dos factores que puede ayudarle a evitarlo por completo.

foto del dispositivo físico TOTP

Los códigos de un solo uso no son una tecnología nueva: son anteriores a los teléfonos inteligentes.

ir a phish

¿qué es el phishing?

Lasuplantación de identidad se refiere a la estrategia que utilizan los atacantes para robarle información haciéndose pasar por otra persona cuando se ponen en contacto con usted. Se llama phishing porque es una combinación de la pesca -los pescadores utilizan un señuelo (el correo electrónico) para atrapar a los peces (usted)- y el ph popularizado por el phreaking, lo que la gente llamaba hackear teléfonos en los años 60 y 70.

Una táctica común de phishing es enviar un correo electrónico a la secretaria de un ejecutivo de nivel C de una gran empresa haciéndose pasar por el ejecutivo. El atacante dirá algo así como %22¡Llego tarde a esta conferencia y me he dado cuenta de que he olvidado el premio! Necesito que me envíes 500 dólares en tarjetas de regalo lo antes posible%22 o %22He perdido mi nota adhesiva con nuestra información bancaria, tienes que enviármela. Tengo que hacer mis gastos esta noche%22. El objetivo suele ser obtener algún beneficio económico -dinero en efectivo, tarjetas de regalo, una cuenta bancaria- o acceso a la cuenta.

Los atacantes que suplantan el acceso a su cuenta le enviarán un correo electrónico pidiéndole que inicie sesión en una cuenta, normalmente de correo electrónico o de redes sociales, pero en lugar de ir al sitio real irá a uno falso. Por ejemplo, el infame hackeo de la campaña de Clinton fue el resultado de que alguien hiciera clic en un correo electrónico que decía %22Actúe ahora para proteger su cuenta de Google%22 e introdujera sus credenciales de Google en un sitio web falso.

La suplantación de identidad no sólo se produce en el correo electrónico, sino que puede provenir de cualquier lugar, incluidas las redes sociales y las aplicaciones de mensajería.

¿quién está haciendo esto?

Es probable que se enfrente a dos tipos de atacantes. El primer grupo es phishers comerciales - Estas personas atacan grandes franjas de cuentas a la vez de forma automática, utilizando información procedente de filtraciones o del mercado gris. Como las organizaciones socialistas no tienen mucho dinero para robar, no van a enfrentarse a ataques dirigidos de atacantes que sólo buscan beneficios económicos. Hurra!(?)

El segundo y más peligroso grupo de atacantes son fascistas que se oponen explícitamente al lefitismo como proyecto y buscan objetivos para hacerlos miserables. Por lo general, van a lanzar ataques más específicos, más difíciles de detectar.

¿Puedo detenerlo?

Hay muy pocos medios puramente técnicos para detener el phishing. Los principales proveedores de correo electrónico, como Gmail y Outlook, realizan una comprobación básica del correo electrónico y pueden enviar ataques evidentes a Spam. Es difícil protegerse tecnológicamente contra el phishing porque los ataques de phishing se basan en atacar no el ordenador a través de medios técnicos, sino a través de la persona en la silla. Dicho esto, hay dos grandes maneras de ayudar a proteger algunas cuentas contra el phishing: una clave de seguridad y la formación.

claves para frenar el phishing

1) una clave literal

Una llave de seguridad es un pequeño dispositivo que se conecta al ordenador o al teléfono con una clave especial. Cuando lo configures, recordará en qué sitios debe trabajar. Supongamos que añades una clave de seguridad a tu cuenta de Twitter y, más tarde, ese mismo mes, haces clic en un correo electrónico de phishing que intenta robar tu cuenta de Twitter. No se da cuenta de que está en un sitio web falso (realtwitterlogin.com) e introduce su nombre de usuario y contraseña. Pero espera: los atacantes necesitan una cosa más para entrar.

Aquí es donde normalmente te piden tu código de dos factores de SMS o TOTP. Pero no pueden robar una clave de seguridad. La clave de seguridad sólo funcionará en twitter.com - no funcionará en un sitio de phishing. Esto no es una forma infalible de evitar el phishing (pueden engañarte para que instales software malicioso que puede burlar esta red de seguridad), pero lo hace mucho más difícil.

¿Necesita una llave de seguridad? Yubico es el mejor en el negocio. Si tienes un puerto USB-A en tu ordenador (del tipo antiguo, rectangular) puedes conseguir este por 25 dólares. Si necesitas el USB-C (el puerto más nuevo y ovalado de los Android y Macbooks) hazte con este. Ambos tienen comunicación de campo cercano (NFC), lo que significa que puedes tocarlos en la parte trasera de tu teléfono para utilizarlos sobre la marcha.

Este es el mejor producto de seguridad que se puede obtener por su dinero. ¿No me crees? Un estudio de 2019 demostró que detuvieron el 100% de los ataques.

2) la clave menos literal (habilidades)

La mejor manera de detener el phishing es armarse de conocimientos sobre las tácticas de phishing más comunes y las señales de advertencia. Una de las formas más fáciles de detectar el phishing es conocer el funcionamiento de las URL.

¿Qué hay en una URL?

La URL es lo que se ve en la parte superior de esta página. Mozilla tiene un gráfico que ayuda a desglosar todas las partes de la URL:

Lo que más nos preocupa es el nombre de dominio, que contiene tres partes principales. .com (o en nuestro caso, .tools) es el nombre de dominio de primer nivel (TLD). Al comprar un nombre de dominio, hay que elegir el dominio (a veces llamado dominio de segundo nivel, pero no me gusta este término) y el dominio de primer nivel. socialismo es mi dominio, y herramientas es el dominio de primer nivel. Estas son las dos partes más importantes de una URL. Siempre aparecerán juntas. Por ejemplo, socialism.blogsarefun.tools no es este sitio: el dominio es blogsarefun, lo que significa que el servidor es completamente diferente al que gestiona socialism.tools.

¿Qué es el socialismo en el ejemplo anterior, entonces? Después de comprar un dominio, un desarrollador web puede configurar su servidor web con una cantidad ilimitada de subdominios, como chat.socialism.tools, cloud.socialism.tools o accounts.google.com. No las compras, las haces cuando quieras y puedes hacer todas las que quieras. Podría hacer accounts.google.socialism.tools si realmente quisiera, no hay limitaciones técnicas.

Cubriendo la primera parte del diagrama, es probable que nunca vea un número de puerto en su navegador - no se preocupe por ello. Esto solía importar porque el puerto 80 era para la navegación web insegura y el 443 era para la navegación web segura, pero hace varios años los nerds de todo el mundo presionaron para que cualquier sitio web que valiera la pena visitar fuera seguro. Debería ver un pequeño icono de candado junto al nombre del dominio en su navegador, y eso es todo lo que debe preocuparse por ahora. El icono del candado dice que tu conexión es segura, pero esto no significa que sea legítima. Puede estar conectado de forma segura al servidor web de un estafador.

Por último, la ruta, los parámetros y el ancla son formas diferentes de organizar el contenido por parte del servidor de origen, no tienen impacto en el phishing.

Si sólo recuerda una cosa de esta sección, que sea ésta: el nombre de dominio y el TLD deben aparecer juntos.

¡Ding! Tienes una guerra psicológica

Con el paso de los años, la gente se ha vuelto más sabia con respecto a los esquemas de phishing, ya que su popularidad ha aumentado. Las empresas de todo el mundo están enseñando a los usuarios a reconocer cosas como los dominios y errores comunes como los de ortografía en los correos electrónicos de phishing. Pero los estafadores son astutos. Tienen algunos trucos para ocultar la URL y algunos más para engañarte y que no la mires.

Uno de los trucos de phishing más antiguos es inducir el pánico en la víctima para que baje sus defensas. El infame correo electrónico de la campaña de Clinton indicaba a la víctima que debía actuar inmediatamente para solucionar un problema de seguridad. Los avisos falsos para asegurar su cuenta de correo electrónico, o su cuenta bancaria, o su cuenta de juego en línea son efectivos porque cuando está en pánico, puede no mirar la URL en absoluto, o simplemente no notar un error de ortografía como gooogle.com vs google.com.

Si alguna vez crees que te han hackeado, lo primero que debes hacer es respirar hondo y tratar de calmarte. Si te hackean, apresurarte a solucionarlo no va a importar de todos modos, pero frenar para comprobar dos veces lo que está pasando puede evitar que te hackeen en primer lugar.

Desde el punto de vista técnico, los atacantes suelen ocultar la URL de la página web maliciosa en un botón o enlace de su correo electrónico, lo que garantiza que no pueda ver lo que es antes de hacer clic. En tu ordenador, siempre puedes pasar el ratón por encima del botón para ver la URL, o pulsar prolongadamente el botón o el enlace en tu teléfono. A los atacantes también les gusta utilizar servicios de acortamiento de URL como bit.ly para obligar a hacer clic para ver la URL real.

Ejemplo

Aquí está la captura de pantalla del correo electrónico de phishing que asestó un golpe a la campaña de Clinton. Mira la captura de pantalla y luego mira la versión en texto plano del correo electrónico. ¿Puedes encontrar las tres cosas que indican que este correo electrónico es falso?

Tres cuentas:

  1. accounts.googlemail.com - no google.com
  2. Cambiar la contraseña (enlace a bit.ly): los enlaces de los servicios de la cuenta nunca, nunca, estarán detrás de un enlace bit.ly, especialmente de un proveedor importante como Google
  3. Los atacantes cometieron un error tipográfico: %22sign-in%22 frente a %22sign in%22. Cualquier tipo de error tipográfico, incoherencia lingüística o lenguaje que suene extraño suele delatar a los phishers.
La práctica hace la perfección

Hay unos cuantos cuestionarios en línea que pondrán a prueba tus conocimientos sobre el phishing. Haz al menos la primera para probar tus habilidades y ver cómo te va.

Una base sólida

Si ha llegado hasta aquí, enhorabuena. Tienes herramientas para hacer frente a dos de los ataques más comunes a los que te puedes enfrentar. Ya sabes por qué es importante el 2FA, especialmente una clave de seguridad, y cómo detectar un correo electrónico de phishing. Este es un fantástico comienzo para proteger tu vida digital.

En la próxima serie sobre seguridad, bloquearemos las miradas indiscretas de los corredores de datos y las redes publicitarias para ayudar a proteger su ubicación, y hablaremos más sobre la seguridad física de sus dispositivos.

Pin It on Pinterest