Puntos de vista

Los ocho elementos fundamentales de seguridad informática

Kevin Townsend, 7 octubre 2019

Comenzando por la seguridad del navegador web y terminando con la paranoia saludable, estos son los ocho elementos esenciales para permanecer seguro en línea

Un navegador seguro

Para la mayoría de nosotros, nuestro navegador web es Internet. Es nuestro medio de acceso directo a la información y el contenido en línea para trabajar, divertirnos, investigar, para nuestras finanzas, para comunicarnos y para casi todo lo demás que hacemos en línea.

Como nuestro primer, último y principal punto de contacto con la web, tiene sentido que nos cercioremos de que sea tan seguro como sea posible.

Afortunadamente, en su mayor parte, los navegadores más conocidos son bastante seguros. Seamos usuarios de Firefox, Edge, Chrome, Safari o incluso Opera, sus funciones integradas de seguridad son suficientes para servir a nuestras necesidades básicas. Sin embargo, esta afirmación solo es válida para los navegadores completamente actualizados; por eso, aprende a buscar actualizaciones. Házlo con frecuencia o bien activa la actualización automática del navegador que has elegido.

Aún así, incluso si el navegador es seguro, esto no es siempre aplicable a las extensiones de terceros. Las extensiones maliciosas van frecuentemente asociadas al fraude de clics. El navegador es redirigido a un sitio publicitario que usa el «pago por clic» para ganar dinero para su desarrollador. A principios de 2018, los investigadores descubrieron cuatro de estas extensiones para Chrome (Change HTTP Request Header; Nyoogle - Custom Logo for Google; Lite Bookmarks; y Stickies - Chrome's Post-it Notes), que habían sido instaladas por unos 500 000 usuarios. Sin embargo, las técnicas utilizadas también podrían utilizarse para establecer un avance en la red local.

En octubre de 2018, Google introdujo nuevas medidas de seguridad contra la instalación de extensiones maliciosas para Chrome, lo que se tradujo en una caída del 89 % en el transcurso del año. A pesar de ello, sigue siendo importante ser cuidadoso a la hora de instalar extensiones. Comprueba si alguien ha informado sobre algún problema con una extensión antes de instalarla.

No esperes demasiado del navegador. Es tentador pensar: «no me preocupa hacer clic en ese enlace, porque Chrome me dirá si es malicioso». Puede que sí, pero estadísticamente no es probable que lo hagas. Una reciente investigación (sitio en inglés) sugiere que hay más de 17,5 millones de sitios web infectados con malware. Solo el 15 % de ellos está en la lista negra de los motores de búsqueda, lo que significa que hay cerca de 15 millones de sitios web infectados que el navegador no conoce y contra los que no puede advertirnos.

Puede valer la pena buscar navegadores especializados en seguridad de empresas de confianza, como Avast Secure Browser, desarrollado sobre Chromium, el mismo veloz motor que utiliza Google Chrome, pero con mayores medidas de seguridad.

Bloqueador de publicidad

A primera vista, un bloqueador de publicidad parece más útil para ganar en calidad de vida que para la seguridad. Todos esos pop-ups, pop-unders y banners se vuelven molestos, y cerrarlos sin duda mejora nuestra experiencia de navegación. Sin embargo, también desde el punto de vista de la seguridad, es importante limitar la cantidad de anuncios que permitimos en nuestro navegador. La publicidad puede ser un aliado sorprendentemente eficaz para el malware y los ciberataques, como PayLeak, que se hizo pasar por un anuncio legítimo para atraer a los usuarios a sitios web fraudulentos. Se trataba de un ataque contra los Wallet de Apple Pay.

Este tipo de ataque es conocido como malvertising, en el que un anuncio aparentemente inocuo nos redirige silenciosamente a un sitio malicioso que intenta infectarnos con cualquier tipo de cosas, desde spyware hasta ransomware.

Durante los últimos años, otro problema relacionado con los anuncios en línea ha ido en aumento. Ya estamos acostumbrados a la publicidad personalizada que trata de vendernos lo que los anunciantes piensan que nos interesa. Pero ahora hay quienes intentan vendernos dogmas políticos (sitio en inglés). Se han documentado intentos de influir en el panorama político mediante la publicación de anuncios personalizados, que se aprovechan de la psicología de los usuarios y tratan de influir en el sentido de nuestro voto. Se trata de ingeniería social política a través de la publicidad en línea.

Existen complementos de bloqueo de publicidad gratuitos y con buena reputación para la mayoría de navegadores. Uno de ellos viene integrado como función personalizable en el navegador Secure Browser de Avast. Al usar un bloqueador de anuncios, no debemos olvidarnos de incluir en la lista blanca nuestros sitios web de confianza para permitir que nuestros blogs y sitios de noticias favoritos puedan mantenerse gracias a la publicidad legítima.

Antimalware

Con tantos sitios web y publicidad maliciosos y otros medios que los chicos malos utilizan para tratar de robar nuestra identidad o infectarnos con malware, necesitamos ese elemento básico de seguridad para PC: una solución antimalware. Tarde o temprano, es probable que el malware acceda a nuestro sistema, y cuando lo haga, debe eliminarse de la manera más rápida y efectiva posible.

Algunos sistemas operativos incorporan sus propias herramientas de eliminación de malware, como la Herramienta de eliminación de software malintencionado de Windows pero, a menudo, carecen de funciones que las herramientas antimalware especializadas ofrecen. Es más que una buena idea disponer de una solución antivirus eficaz como Avast Free Antivirus para mantenerse protegido contra las amenazas externas y poder poner en cuarentena o eliminar cualquier archivo malicioso que entre en nuestras máquinas.

Existen varios productos antimalware gratuitos disponibles. La mayoría de ellos ofrecen versiones «premium» con un pequeño coste. Si bien la capacidad básica de detección y eliminación de malware es la misma en ambas versiones, el sistema profesional proporciona generalmente funciones adicionales que son dignas de consideración.

Administrador y generador de contraseñas 

Una contraseña fuerte es una de las medidas más básicas de seguridad, pero también la más ignorada o comprometida. En 2019, un estudio (sitio en inglés) del National Cyber Security Center (NCSC, parte del servicio de inteligencia del RR. UU. GCHQ) descubrió que más de 23 millones de usuarios de todo el mundo siguen usando: «123456». Una buena contraseña es única, difícil de adivinar y tiene una alta entropía; es decir, el tiempo que tarda un equipo en averiguar la contraseña por fuerza bruta. La entropía de una contraseña aumenta al usar más caracteres y mezclar letras, números y símbolos. Una contraseña verdaderamente fuerte es aquella que ningún equipo actual puede descifrar en un periodo de tiempo razonable. (La informática cuántica cambiará esto en el futuro, pero esa es otra historia.)

Probablemente todos estamos familiarizados con el gran problema de seguridad de las contraseñas. Se supone que tenemos diferentes contraseñas para cada sitio web y cada servicio que utilizamos, y se supone que cada una de esas contraseñas es larga y complicada. Es una mala práctica tener escrito un recordatorio de nuestras contraseñas. Si alguien consigue acceder al archivo de texto o la nota física, también podrá acceder a nuestras cuentas e información con esas contraseñas. Pero, para no volvernos locos, la mayoría de nosotros comprometemos, al menos un poco, la seguridad de las contraseñas, ya sea guardando recordatorios de nuestras contraseñas o bien reduciendo su complejidad.

Un buen y seguro administrador de contraseñas no solo solucionará el problema de la singularidad y complejidad, sino que también nos proporcionará mayor comodidad al navegar al introducir por nosotros las contraseñas. Un servicio como Avast Passwords simplifica el proceso de inicio de sesión sin comprometer su entropía y singularidad. Puede generar contraseñas únicas de alta entropía, que son imposibles de romper por fuerza bruta y todo lo que necesitaremos recordar es la contraseña principal del servicio.

Una VPN

Las VPN, redes privadas virtuales, han sido algo relativamente especializado hasta no hace mucho. Sin embargo, con las preocupaciones de privacidad en línea creciendo año tras año, y los anuncios personalizados cada vez más intrusivos y de mayor alcance, muchas personas comienzan a buscar otras formas de preservar su anonimato en línea.

Las VPN funcionan conectando el tráfico de Internet a un servidor de red centralizado antes de encaminar las peticiones hacia su destino. Esto interpone una nueva dirección IP anónima entre su dispositivo y los sitios web por los que navega. Lo que significa que, en lo que respecta a las cookies de seguimiento o a cualquier actor malicioso que monitoree nuestro tráfico, nuestras actividades pueden ser rastreadas solo hasta el servidor VPN, no hasta nosotros.

Seamos cuidadosos al elegir un proveedor de VPN, utiliza solo servicios conocidos y de confianza. Los servicios VPN de menor reputación pueden ponernos en una situación de vulnerabilidad. Si bien nuestro tráfico no será registrado y monitoreado por los sitios que visitemos, el proveedor de VPN podría guardar su propio registro y, si los propietarios de la VPN carecen de escrúpulos, podría ser vendido junto con otra información personal, poniéndonos en una situación peor que antes de comenzar a utilizar la VPN. El navegador SecureLine VPN de Avast no registra la actividad de navegación o el uso de la aplicación, y ofrece una prueba gratuita de siete días a cualquiera que esté considerando el uso de una VPN.

Copia de seguridad de datos

Ya sea a causa de malware, de daños en el hardware o de un fallo catastrófico de software, a veces nuestros dispositivos se averían y perdemos el acceso a nuestros archivos. Existen muchas formas de hacer una copia de seguridad de nuestros datos. Podemos considerar la posibilidad de usar un almacenamiento externo, como un disco duro extraíble o de estado sólido. Estos mantienen una copia recuperable de nuestros datos a largo plazo, pero pueden suponer pérdidas de tiempo si nuestras copias de seguridad necesitan actualizaciones frecuentes. También están sujetos a daños físicos y degradación, lo que puede traducirse en costosos servicios de recuperación o pérdida permanente de datos.

También existe la opción de almacenamiento en la nube para hacer una copia de seguridad de nuestros datos. Muchos de los principales proveedores de almacenamiento en la nube, como Dropbox, OneDrive o Amazon S3, proporcionan almacenamiento gratuito limitado si no tenemos grandes necesidades. Sin embargo, algunos de los servicios básicos en línea pueden ser vulnerables y es fácil configurarlos de forma incorrecta para la seguridad. Un informe (sitio en inglés) del año pasado reveló que 1500 millones de registros, que incluían información confidencial, quedaron expuestos debido al almacenamiento en línea mal configurado. Desde entonces, se han descubierto muchos más: el más reciente, en mayo, fue la filtración de información de contacto en Instagram de millones de personas influyentes.

Si bien los servicios gratuitos pueden ser suficientes para usuarios individuales, las pequeñas empresas deben considerar un servicio de copia de seguridad y recuperación especializado. Un buen servicio mantendrá actualizados los archivos importantes de forma automática y accesibles desde varios dispositivos; algo como la Copia de seguridad y recuperación de Avast , por ejemplo.

Cifrado de datos

El cifrado de datos normalmente pasa desapercibido; cuando registramos una contraseña para un servicio en línea, esta se guarda (o así debería ser) en formatos sal y hash, lo que evita que los hackers puedan leer fácilmente nuestras credenciales y acceder a la base de datos del sitio web. La combinación de regulaciones y buenas prácticas impone a las empresas cifrar cualquier información confidencial que guarden del cliente, por lo que, en cierto sentido, ya estamos utilizando el cifrado de datos. Sin embargo, para nuestra seguridad personal, sería aún mejor pensar en un cifrado de datos más cercano.

Cuando realizamos copias de seguridad de nuestros datos privados, vale la pena cifrarlos también. Muchos servicios de almacenamiento en la nube cifran los datos automáticamente, pero cifrar los datos localmente requiere una solución especializada.

Muchas VPN proporcionan cifrado para el tráfico saliente de Internet, pero no son la única opción para mantener nuestro equipo cifrado. Podemos activar el cifrado de nuestra red Wi-Fi; consulte el manual de su router para más información sobre su configuración. Si el navegador o el router ofrece la opción de rechazar conexiones HTTP (lo que obligará a que el equipo solo acepte las conexiones HTTPS, más seguras, si están disponibles), asegúrese de activarlo Avast Secure Browser tiene activada esta opción por defecto.

Finalmente, en especial si el equipo es compartido por varios miembros de la familia, quizá queramos cifrar ciertos archivos o carpetas para mantener la privacidad de nuestros datos personales. Windows 10 proporciona sus propias capacidades de cifrado, pero también existen otros servicios de terceros para el cifrado de carpetas y discos. En general, al elegir un servicio de cifrado, opta por un algoritmo de cifrado revisado por pares y reconocido, como AES, Blowfish o su sucesor, Twofish. Evita el cifrado desarrollado por el proveedor a menos que haya sido revisado en profundidad por la comunidad criptográfica.

Una sana paranoia

De alguna forma, el octavo hecho fundamental sobre seguridad es el más importante de todos. Se trata de la paranoia, y funciona. Es, esencialmente, cuestión de mantener la actitud correcta sobre la seguridad, y la más barata y accesible de esta lista, pero puede ser también la más difícil de lograr. Las palabras «saludable» y «paranoia» no combinan bien en medicina, sin embargo, para permanecer seguro en línea, la paranoia es probablemente la actitud más saludable.

Debemos ser conscientes de que cualquier dirección de correo electrónico puede ser comprometida y cualquier persona suplantada simplemente porque algo que parecía ser de confianza no lo era. Vale la pena sospechar de cualquier cosa en línea - un correo electrónico, un sitio web, una página de una red social - que pregunte sobre información personal o financiera o que nos pida nuestras credenciales de inicio de sesión.

No confíe sistemáticamente en los enlaces que recibe por correo electrónico y no abra un adjunto que no esperaba recibir. En caso de duda, telefonee a la persona que le envió el adjunto para confirmar que es genuino.

Recuerde que los bancos y organizaciones financieras no te piden sus datos confidenciales a través de un correo electrónico o en las redes sociales. Trata de encontrar críticas imparciales e independientes de cualquier sitio web o servicio que estés usando. Echa un vistazo a las páginas de información de Avast sobre phishing, ingeniería social, estafas y robo de identidad para saber más sobre cómo identificar y protegerse contra ese tipo de ataques en línea. Recuerda siempre la regla de oro: No importa lo que se ofrezca o lo verosímil que parezca, si suena demasiado bueno para ser verdad, probablemente no lo sea.

En pocas palabras, pongamos del revés la frase: «confía pero comprueba». Para mantener la seguridad en línea, debemos comprobar antes de confiar.