APRENDE A PROTEGER TUS CUENTAS FÁCILMENTE

 

Como introducción se podría comparar la ciberseguridad con las leyes… La legislación, en nuestro día a día, busca alcanzar un punto de equilibrio entre LIBERTAD y SEGURIDAD. Si se buscase la seguridad por encima de todo, esto implicaría renunciar a muchas libertades. Del mismo modo, si se buscase la libertad por encima de todo, no habría apenas seguridad… Se haga lo que se haga, nunca llueve a gusto de todos…

En el mundo de Internet pasa lo mismo. Hay muchos ciberdelincuentes, y cada usuario está sólo para defenderse de ellos. Aquí nos enfrentaremos a un dilema personal… ¿qué preferimos: SEGURIDAD o COMODIDAD? Si nos movemos por internet de una forma muy muy segura, será seguramente muy incómoda, y de igual forma, si es muy cómoda, seguramente será muy muy insegura.

En este artículo vamos a ver cómo y porqué dar una seguridad adicional a los servicios críticos que usamos. Dividiremos el artículo en puntos clave:

 

Qué es un Servicio Crítico

 

Un servicio crítico es aquel que en malas manos podría crearnos un gran perjuicio, ya sea económico, de imagen, de confidencialidad, o de otros riesgos potenciales. El primer servicio crítico por excelencia es la página de nuestro BANCO: alguien que acceda a él suplantándonos, podría transferir nuestro dinero a otras cuentas. El segundo servicio crítico por excelencia es nuestro correo electrónico: alguien que acceda a él suplantándonos, podría obtener información confidencial, y podría quitarnos el control sobre cualquier servicio vinculado a nuestro correo electrónico (usando lo de “he olvidado mi contraseña” del Facebook, del Instagram, etc). El tercer servicio crítico son las redes sociales: si alguien accede a él suplantándonos, podría escribir a nuestras amistades en nuestro nombre, crearnos problemas, etc. Visto lo visto, creo que es muy importante maximizar la seguridad.

 

Qué es Autenticarse

 

Autenticarse es identificarnos ante un servicio online. El conjunto de acciones que debemos hacer para poder disponer de las funcionalidades que nos ofrece un servicio concreto. Como un servicio es un ordenador, el ordenador no tiene forma de saber si realmente somos quienes decimos ser, o si somos un suplantador deseoso de hacer maldades; por eso el ordenador nos pide que probemos / demostremos / acreditemos que somos el usuario auténtico (de ahí lo de autenticarse / autentificarse), mediante los factores de autenticación posibles.

 

Qué Factores de Autenticación existen

 

Muchos hemos visto películas de espías como misión imposible, en las que la persona se identificaba diciendo una frase en voz alta, mostrando el iris de sus ojos a una máquina, poniendo las palmas de sus manos en una superficie, e introduciendo una tarjeta de identificación en un lector… Si todas las pruebas eran superadas, el sistema reconocía a la persona como auténtica y desbloqueaba la puerta.

 

Existen varios factores de autenticación:

 

– Algo que sabemos: nuestra contraseña de acceso, preguntas-respuestas secretas.

– Algo que tenemos: nuestro smartphone, una tarjeta de coordenadas, una tarjeta inteligente ó smartcard como el dni electrónico.

– Algo que somos: nuestro iris, nuestra huella dactilar, nuestra voz.

 

También existen otros como:

 

– Factor de tiempo: se define en el sistema que un usuario sólo tendrá acceso en un rango concreto de horas/días.

– Factor de lugar: se define en el sistema que un usuario sólo tendrá acceso desde un lugar/máquina concreto.

 

¿Qué es lo habitual hoy día?

 

Existen problemas de suplantaciones de identidad porque normalmente la gente se autentica en los servicios que usa con UN único factor de autenticación “algo que sabemos”, usando una contraseña. Se puede obtener dicha contraseña con diferentes técnicas hacking (ataque por diccionario, ingeniería social, interceptación de mensajes,…). En otras ocasiones incluso los usuarios dejan su sesión ABIERTA en su smartphone o en su ordenador, con lo que alguien que tenga acceso al mismo, podrá suplantarlo. Y lo que ya es aún más increíble, le permitimos a nuestro navegador, recordar nuestras contraseñas, con lo que malware de páginas web puede incluso leer las contraseñas almacenadas en nuestro navegador…

Los bancos, entidades muy experimentadas en esto de la seguridad, cuando nos dan acceso a través de internet, nos obligan a usar un SEGUNDO FACTOR DE AUTENTICACIÓN, que suele ser: una tarjeta de coordenadas, o bien, nos piden nuestro número de teléfono para mandarnos un código aleatorio por cada SMS. Y esta es la clave de todo… aumentar los factores de autenticación.

 

¿Qué servicios tienen múltiple factor de autenticación?

 

Todos los servicios críticos de hoy en día tienen múltiples factores de autenticación. Además de los Bancos y el correo electrónico (Gmail, Hotmail,…), los servicios de redes sociales también disponen de esta medida: Facebook, Twitter, Instagram, etc. Casi todos los servicios que implican “privacidad” y/o “dinero” (Paypal, Ebay,…), los disponen.

Debemos tener en cuenta, que en unos servicios se refieren a esto de los factores múltiples de autenticación, o segundo factor de autenticación, también como “doble factor de autenticación”, o “verificación en dos pasos”… son diferentes formas de referirnos a lo mismo.

Se llama segundo factor de autenticación, porque se da por hecho que todos tienen el factor de conocimiento / “algo que sabemos”, la clásica contraseña… y el segundo factor bien será o algo que somos (huella dactilar, nuestra cara,…), o algo que tenemos (un libro de claves, un smartphone,…), etc.

 

* Comodidad-Seguridad

 

Puede que sea incómodo usar los servicios de forma segura:

– cerrar la sesión de uso cuando dejemos de usar un servicio.

– optar por un doble factor de autenticación en nuestros servicios.

– optar por un tercer factor de autenticación para casos límite (cuando perdemos o nos roban nuestro segundo factor de autenticación, esperemos que no te roben un ojo, o el dedo, y sólo sea el teléfono).

 

Hasta ahora podíamos delegar la seguridad en la seguridad matemática, y con ello me refiero a crear contraseñas muy largas, con mayúsculas, minúsculas, números y símbolos… Pero todo eso no sirve de mucho, porque si tenemos un malware en el ordenador que registra lo que escribimos, los cibercriminales obtendrán la contraseña… si permitimos que el navegador recuerde nuestras contraseñas un malware de navegador puede leerlas, si nos comunicamos a través de wifi y nuestra red wifi no es 100% segura pueden interceptar nuestra contraseña a través del aire, y si somos muy paranóicos (o muy importantes), hoy día se pueden duplicar tarjetas SIM con lo que un cibercriminal podría suplantarnos aun teniendo un segundo factor de autenticación dependiente del servicio SMS.

 

Podemos optar entre que sepamos que ÚNICAMENTE nosotros podemos acceder y actuar con nuestras cuentas en redes sociales, bancos, y otros servicios, o podemos optar por pensar que en todo el mundo no hay ninguna persona mala que intente beneficiarse de nuestros recursos a la mínima oportunidad… es muy cómodo no depender de llaves, pero no conozco a nadie, por pobre que sea, que duerma en su casa con la puerta abierta… yo soy de los que piensa que la SEGURIDAD es importante, y sobre todo cuando se trata de evitar males mayores en un ciberespacio lleno de cibercriminales.

 

MAX01

 

3º Pulsamos en el botón “Mi Cuenta“. Nos aparecerá una pestaña nueva en el navegador, cuyo título destacado pone “Controla, protege y mantén segura tu cuenta, todo desde un lugar”. Dice “Todo” porque afecta a todos los servicios de Google: Gmail, Youtube, Gdrive,…

 

4º Pulsamos en el botón que tiene un candado azul y pone: “Inicio de sesión y seguridad“. Al hacerlo nos dará paso a una página con un menú a la izquierda, y cuerpo general a la derecha.

 

MAX02

 

5º Pulsamos el enlace que pone “Inicio de sesión en Google“, que lo encontraremos en 4º lugar dentro del menú de la izquierda. Al pulsarlo, en la parte derecha (el cuerpo de la página), nos dirigirá a la zona “Inicio de sesión en Google” y veremos un cuadro que pone: “Contraseña y método de inicio de sesión”, con tres subapartados:

– Contraseña (si pulsamos aquí, procederemos a cambiar la contraseña actual por una nueva).

– Verificación en dos pasos (lo que nos interesa, los factores de autenticación).

 

MAX03

 

6º Pulsamos en “Verificación en dos pasos“, y a continuación nos pedirá de nuevo nuestra contraseña (tratando de asegurarse de que somos nosotros). La introduciremos.

 

MAX04

 

MAX05

 

7º Pulsaremos “Siguiente” para validar la contraseña y por fin llegamos a nuestro “templo de la seguridad”

 

Tenemos varios posibles modos de segundo factor de autenticación:

 

MAX06

 

  1. A) App Google Authenticator (para nuestro smartphone o tablet, ya sea Android o iOS)

– Para habilitar este factor, deberemos pulsar sobre dicha opción en la página web, con lo que nos saldrá un código QR (puntitos) en la pantalla, el cual deberemos escanear con la app Google Authenticator desde nuestro smartphone (para escanear con la app, la iniciaremos y luego pulsaremos el botón rojo de la app que nos sale abajo a la derecha con un símbolo “+”, y en el menú que nos sale pulsaremos “Escanear código de barras”).

– Una vez vinculemos a la App una cuenta g-mail, la App estará continuamente generando códigos los cuales serán sólo válidos mientras son visibles en la App, y estos se renuevan cada pocos segundos.

  1. B) Mensaje de voz o texto

– Para habilitar este factor, debemos indicar a Google cuál es nuestro teléfono, nos enviará un código de validación, lo usamos en la página de google, y listo. Yo lo tengo para si cambio la SIM de mi smartphone a otro en el que no tenga la App Google Authenticator instalada. Cuidado de qué teléfono ponemos aquí…

  1. C) Códigos de seguridad

– Para habilitar este factor, simplemente seguiremos las instrucciones de pantalla, deberemos o bien imprimir la lista de números, o bien copiarla en un papel que guardaremos en un lugar seguro. Estos números serán nuestro segundo factor en caso de que por ejemplo, estemos en el extranjero sin conexión a internet, y sin nuestro smartphone operativo para recibir SMS. Nos generará una lista de 10 códigos numéricos de 8 cifras cada uno, los cuales sólo podremos usar UNA VEZ cada uno, pero siempre que regresemos a esta página web podremos pedir otros 10 nuevos.

 

MAX07

 

  1. D) Solicitud de Google (mensaje de google en el teléfono)

– No se bien como funciona este factor, nunca lo he utilizado.

  1. E) Llave de seguridad USB (pendrive)

– Tampoco he usado nunca este factor… supongo, quiero pensar, que simplemente el navegador te descargará un archivo en el usb y ya… pero no se si podríamos clonar ese usb copiando el archivo, o si este factor mira el número de serie del usb… en este último caso, si se nos “estropea” el USB perderíamos la llave…

 

Sección: “Dispositivos que no requieren realizar un segundo paso

Veamos, cuando activamos lo del segundo factor de autenticación, usemos la técnica que usemos, el servicio de google que estemos usando (Gmail, Gdrive, Youtube,…) nos va a preguntar si deseamos recordar el dispositivo actual como dispositivo de confianza… si decimos que sí, Google marcará ese dispositivo como seguro, y no nos volverá a pedir el segundo factor de autenticación, únicamente el primero (la contraseña). Mucho cuidado de dónde habilitamos este “recuerdo”, ya que ello permite que un tercero que sepa nuestra contraseña y tenga acceso al dispositivo, podrá usar nuestra cuenta. Mi smartphone está pegado a mí como mi ojo… sólo me separo de él para ducharme xD. Pero recordemos que si alguien nos roba el smartphone y lo tenemos desbloqueado, o con un bloqueo fácil, podrá suplantarnos…

 

MAX08

 

Hay diferentes formas de asegurarnos el acceso a nuestro smartphone, y dentro de él a apps determinadas del smartphone… incluso hay modos cómodos de asegurarnos de que nuestro smartphone está cerca de nosotros, y saber si nos lo roban, o si estamos saliendo de casa sin él… pero eso da para otro artículo… 

Espero que este artículo te haya ayudado a comprender mucho mejor la seguridad en tu smartphone y la importancia de los peligros que conlleva el tener una baja seguridad.

Por Patxi50

 

 

 

2 Comments

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s