Menú

Gabriel Viso

Un blog y un podcast, por Gabriel Viso

Seguridad o no: ¿hasta dónde hay que ir?

"He cambiado todas mis contraseñas por 'INCORRECTA'... así, cuando me digan 'contraseña incorrecta', me la recuerdan"

“He cambiado todas mis contraseñas por ‘INCORRECTA’… así, cuando la olvide, me dirán ‘contraseña incorrecta'”

Después de unas pocas entradas sobre conceptos y consejos acerca de seguridad en internet, toca reflexionar. En ocasiones nos preocupamos muy poco de nuestra seguridad en internet, y en ocasiones demasiado. A veces esperamos hasta que hay una brecha de seguridad en una web, o una vulnerabilidad generalizada, para darnos cuenta de que no es tan buena idea usar la misma contraseña para GMail, Twitter, LinkedIn y toda una variedad de sitios más. Otras veces, por el contrario, pecamos de exceso de celo rayando la paranoia y sobreprotegemos nuestra información, con el asociado coste en tiempo, esfuerzo y a veces dinero que eso conlleva.

En general es mejor protegerse de más que de menos, indudablemente, pero, ¿hasta qué punto nos debemos preocupar por estas cosas? Si una web no admite contraseñas de más de 6 caracteres, ¿debo estallar en ira? ¿Qué nivel de seguridad es razonable exigir? ¿Cómo saber cuánto y cuándo debemos tomar medidas? ¿Y por qué?, ¿alguien se cuestiona el porqué? Vamos a reflexionar un poco al respecto.

Ante todo, algo de calma. Una cosa es cierta, y es que no podemos tener desprotegidos datos nuestros, ni de terceros: por pura responsabilidad. Si yo tengo acceso en Facebook a cosas que la chica con la que salgo sólo comparte conmigo y con sus tres mejores amigas, mi contraseña también debe protegerla a ella. ¿Lo habías pensado? Poner “facebook” como contraseña de Facebook es algo a evitar, y no sólo por ti mismo: puedes estarle fallando a alguien. Partiendo de esa premisa y con esos ejemplos, también está claro que no todos necesitamos un “búnker digital” para guardar las cosas.

Una cosa está clara, y es que las llaves que abren las puertas que nos identifican ante el mundo, tanto personal como laboral, deberían estar a buen recaudo. Después vienen otros servicios en los que nos damos de alta para mantener actividades menos importantes, como foros muy específicos, servicios de comentarios en revistas digitales,… Y por supuesto, puede haber servicios donde tenemos registrados medios de pago como tarjetas de crédito. Nos debemos plantear qué nivel de protección y qué tipos de medidas de seguridad deberíamos tomar en cada caso. Se trata de tener una foto clara en la mente y evitar actuar empujados por un miedo paranoico inexplicable (“—Yo uso contraseñas de 256 caracteres cifradas con claves de 2048. —¿Por qué? —No lo sé, ¿por qué no?“), o caer en la comodidad del sofá entrando en GMail con “correíto” como contraseña. Ni tanto, ni tan poco.

De la misma forma que juzgamos quiénes somos y lo que guardamos en casa para decidir si poner puerta blindada o alarma, conviene analizar quiénes somos y cómo es la información que ponemos en Internet para poder identificar la medida que necesitamos adoptar en cada caso.

Es importante tener una idea clara de quienes somos y qué interés tenemos nosotros, nuestra identidad y nuestros datos, para un delincuente.

Acerca del “nosotros” me refiero a que seamos capaces de responder a la preguntas siguientes: “¿Puedo estar yo en algún punto de mira? ¿Qué interés puede tener un tercero en irrumpir en mis cuentas de correo?, ¿qué gana alguien teniendo acceso a mis datos?, ¿de qué sirven mis datos a un delincuente?“. Creo que esto está claro: no todos tenemos secretos de estado en GMail. En el mercado negro no vale lo mismo tener acceso a mi cuenta de correo personal que a la de un inversor.

Después vienen “nuestros datos”: qué significan y qué poder otorgan. Conviene reflexionar acerca del poder que otorgaría la información o el servicio que estamos intentando proteger en el sentido del daño que nos pueden hacer. Es decir, un delincuente que persiga hacer dinero con nuestros datos puede no encontrarnos atractivo, pero ¿conocemos bien a todos nuestros conocidos?, ¿no habrá alguna mala persona a la que le gustaría hacernos daño por alguna razón? Hagámonos muchas veces las pregunta “¿Qué pasaría si entrase alguien en mi cuenta de [aquí tu servicio de correo, red social,…]?, ¿qué podría pasarme?, ¿qué podría pasarle a mi familia?, ¿y a mi trabajo?”. Es decir, hagamos un análisis en los siguientes ejes:

  • Tipo: ¿la información o el servicio es laboral o personal?
  • Propiedad: ¿la información te pertenece solamente a ti?, ¿es información que alguien te ha confiado?, ¿son secretos empresariales o personales, o acerca de otra persona?
  • Exposición: si asaltan una cuenta tuya, ¿cuánta gente se vería expuesta por esa razón?, ¿hay algún amigo, familiar o menor que se pueda ver afectado o expuesto?
  • Alcance: ¿cuál es el alcance de la información o el servicio a proteger?, ¿a cuántas personas, y de qué tipo, llegaría la información en el caso de filtrarse?, ¿tienes 500 seguidores, ó 5.000.000?, ¿a través de este servicio se tiene acceso a mi identidad en otros? Como ejemplo, pensemos en Facebook o LinkedIn: ¿qué ocurre si un cracker gana acceso a nuestra información y la difunde?, ¿qué ocurre si difunde falsedades desde mi cuenta de LinkedIn?, ¿qué pasa si escriben una retahíla de insultos a mi jefe?
  • Tiempo de vida útil: ¿ocurre lo mismo si la información es filtrada hoy, que si se filtra dentro de una semana?, ¿la información pierde valor, o validez, en el tiempo? Ejemplo: un ladrón no se plantea robar en tu casa mañana si accede a tu cuenta de Facebook (o se hace pasar por algún amigo) y ve en tus actualizaciones privadas que hace una semana estuviste fuera, pero que ya has vuelto.
  • En definitiva, efecto: ¿qué es lo peor que puede pasar si alguien gana acceso a nuestra cuenta? Algunos ejemplos que podrían costarnos dinero o reputación:
    • Pueden obtener datos personales nuestros o de terceros (dirección, teléfono) para cometer fraudes o acosos.
    • Alguien puede calumniar a un tercero en nuestro nombre.
    • Pueden almacenar material ilegal en nuestros perfiles, y difundirlo a través de ellos.

Hay muchos más ejes, este artículo solo pretende invitar a este tipo de reflexiones.

En conclusión, no toda la información ni servicio (correo, red social) es igual y por lo tanto, no es igual la precaución que se debe tomar. Y hay información más sensible de lo que creemos, o información que no es evidente que es sensible. Teniendo claras las respuestas a estas preguntas podemos decidir si aplicar una contraseña más o menos fuerte a cada una de las cuentas que podemos tener en foros, servicios de correo y redes sociales.

Comentarios

juan andres camps de la localidad de oliva- Pcia de cordoba dice:

bien gabriel ahora vere de sacarme esa mierda de Ask. AYUDAME.¡¡¡

Hola, Juan Andrés. En este blog publiqué un artículo al respecto hace mucho tiempo: http://gabrielviso.com/2008/11/29/quitar-askcom-de-la-barra-de-direcciones-de-firefox/

Está hecho para solucionar este problema en Firefox (no en Chrome ni en Internet Explorer) y lo escribí hace nada menos que 6 años, así que seguramente haya cambiado en algo los pasos que hay que dar, pero espero que te sirva como punto de partida.

Deja un comentario