Las contraseñas son fundamentales para la seguridad en Internet y protegerlas es crucial. Deben elegirse contraseñas largas y complejas para evitar que sean descubiertas o adivinadas. Es importante cambiarlas regularmente y configurar opciones de recuperación, y nunca revelarlas o usar la misma en múltiples sitios.
Una charla sobre riesgos de seguridad digital para el usuario común, y cómo prevenirlos a través de 10 consejos básicos, implementables por todos nosotros.
Consejos para prevenir las amenazas en la redCPP España
Desde CPP España, se recomienda un serie de pautas orientadas a incrementar las medidas de seguridad en la navegación, evitar las amenazas y, en el caso de sufrir algún ataque, minimizar su impacto
Una charla sobre riesgos de seguridad digital para el usuario común, y cómo prevenirlos a través de 10 consejos básicos, implementables por todos nosotros.
Consejos para prevenir las amenazas en la redCPP España
Desde CPP España, se recomienda un serie de pautas orientadas a incrementar las medidas de seguridad en la navegación, evitar las amenazas y, en el caso de sufrir algún ataque, minimizar su impacto
2. Contraseñas
• Sirven para autenticar un usuario:
– Aseguran que realmente eres quien dices ser y
que tienes derecho a acceder al recurso en cuestión.
• Uno de los principales mecanismos de autenticación
utilizados en Internet.
• Proteger tu contraseña es fundamental para evitar los
riesgos que conlleva el uso de Internet:
– La contraseña es el secreto que garantiza tu identidad,
es decir, lo que garantiza que eres el dueño de tus
cuentas de usuario.
3. Contraseñas
• Tu contraseña puede ser descubierta:
– Cuando la utilizas en:
• Computadoras infectadas.
• Computadoras hackeadas.
• Sitios falsos (phishing).
– Intentando adivinarla.
– Al ser capturada mientras transita por la red.
– Mediante el acceso al archivo donde está almacenada.
– Con el uso de técnicas de ingeniería social.
– Observando el movimiento:
• de tus dedos en el teclado
• de los clics del mouse en un teclado virtual
5. Principales Riesgos
• En caso de poseer tu contraseña, un invasor puede:
– Acceder a tu cuenta de correo electrónico y:
• Leer y/o eliminar tus correos
• Robar tu lista de contactos y enviar correos en tu nombre
• Enviar mensajes que contengan:
– spam
– engaños
– phishing
– códigos maliciosos
• Solicitar el reenvío de las contraseñas de otras cuentas
– y así lograr acceder a las mismas.
• Cambiar tu contraseña
– dificultando así que puedas ingresar nuevamente a tu cuenta.
6. – Acceder a tu red social y:
• Dañar tu imagen
• Abusar de la confianza de tus amigos/seguidores
• Enviar mensajes en tu nombre, conteniendo:
– spam
– engaños
– phishing
– códigos maliciosos
• Cambiar la configuración que seleccionaste
– haciendo pública tu información privada
• Cambiar tu contraseña
– dificultando así que puedas ingresar nuevamente a tu perfil
Principales Riesgos
7. – Acceder a tu cuenta bancaria y:
• Verifica el saldo y el estado de tus cuentas.
– Acceder a tu sitio de comercio electrónico y:
• Modificar la información de registro.
• Realizar compras en tu nombre.
• Verificar información sobre tus compras anteriores.
– Acceder a tu dispositivo móvil y:
• Robar tu lista de contactos y tus mensajes.
• Acceder y/o copiar tus fotos y vídeos.
• Bloquear el acceso al dispositivo.
• Borrar los datos almacenados en el dispositivo.
Principales Riesgos
9. Elección de contraseñas
• Evita usar:
– Datos personales:
• Nombre, apellido
• Nombres de usuario
• Fechas
• Números de documentos, de teléfono o matrículas de
vehículos.
– Datos disponibles en las redes sociales y páginas web.
– Secuencias de teclado.
• “1qaz2wsx”, “QwerTAsdfG”
– Palabras que aparezcan en listas conocidas publicamente:
• Canciones, equipos de fútbol.
• Personajes de películas.
• Diccionarios de diferentes idiomas.
10. • Usa:
– Números aleatórios:
• Cuanto más aleatorios sean los números, mejor.
– Principalmente en sistemas que solamente aceptan caracteres
numéricos.
– Muchos caracteres:
• Cuanto más larga sea tu contraseña, mejor.
– Diferentes tipos de caracteres:
• Cuanto más "desordenada" sea tu contraseña, mejor.
Elección de contraseñas
11. • No reveles tus contraseñas.
– Asegúrate de que nadie esté mirando cuando las digites
– No las dejes anotadas donde otros puedan verlas.
• Un papel sobre la mesa o pegado a tu monitor.
– Evita ingresarlas en computadoras y dispositivos móviles
de otras personas.
• No entregues tus contraseñas a otras personas.
– Cuidado con los correos electrónicos y las llamadas
telefónicas solicitando datos personales.
• Utiliza conexiones seguras si el acceso implica el uso de
contraseñas.
Elección de contraseñas
12. • Evita:
– Guardar tus contraseñas en el navegador
– Utilizar opciones como:
• “Recordar cuenta”
• “Seguir conectado”
– Usar la misma contraseña para todos los servicios a los que
te conectas
• Alcanza con que un atacante obtenga una contraseña para que
pueda acceder a las demás cuentas donde la utilizas
• No utilices las contraseñas de uso profesional para
acceder a asuntos personales (y viceversa)
– Respeta los contextos
Elección de contraseñas
13. Cambio de las contraseñas:
• Cambia tus contraseñas:
– Inmediatamente, si piensas que tus contraseñas han sido:
• Descubiertas o usadas en computadoras hackeadas o infectadas.
• Si pierdes una computadora donde estaban guardadas.
– Regularmente:
• Debes de cambiar tu contraseña regularmente para evitar
inconvenientes.
14. Recuperación de las contraseñas
• Configura opciones de recuperación para tus contraseñas:
– Una dirección de correo electrónico alternativa.
– Una pregunta de seguridad.
– Un indicio de contraseña.
– Un número de teléfono celular.
• Cuando utilices preguntas de seguridad:
– Evita escoger preguntas de seguridad cuyas respuestas se
puedan adivinar facilmente.
– Intenta crear tus propias preguntas
• Preferentemente con respuestas falsas.
15. Phishing y códigos maliciosos
• Desconfía de los mensajes que recibas:
– Aunque hayan sido enviados por un conocido:
• Estos mensajes pueden haber sido enviados desde una cuenta
falsa o hackeada.
• Evita:
– Hacer clic o seguir enlaces recibidos en correos electrónicos:
• Trata de escribir la URL directamente en el navegador
– Utilizar un buscador para acceder a servicios que requieran
contraseñas, como tu correo electrónico web y tus redes
sociales.
• Ten cuidado al hacer clic en enlaces acortados:
– Usa complementos que permitan expandir el enlace antes de
hacer clic sobre el mismo.
16. Computadoras de terceros
• Asegúrate de cerrar tu sesión (logout) cuando accedas a
sitios que requieran el uso de contraseñas.
• Siempre que sea posible, intenta usar opciones para
navegar en forma anónima.
• Evita realizar transacciones bancarias y comerciales.
• Al regresar a tu computadora, trata de cambiar cualquier
contraseña que hayas utilizado.
Notas del editor
Este trabajo fue originalmente desarrollado por CERT.br, parte de NIC.br, con el objetivo de promover la concientización sobre el uso seguro de Internet y se basa en la Cartilla de Seguridad para Internet (http://cartilla.cert.br/).
Esta obra se encuentra bajo la licencia Creative Commons Reconocimiento-No comercial-Compartir bajo la misma licencia 3.0 Brasil (CC BY-NC-SA 3.0).
CERT.br/NIC.br otorga a Usted una licencia de cobertura mundial, libre de regalías, no exclusiva, sujeta a los términos y condiciones de esta Licencia, para ejercer los derechos sobre la Obra como se indica a continuación.
Reproducir la Obra, incorporar la Obra en una o más Obras Colectivas y reproducir la Obra incorporada en Obras Colectivas;
Crear y reproducir Obras Derivadas, siempre que cualquier Obra Derivada, incluida cualquier traducción, en cualquier medio, adopte medidas razonables para indicar claramente, delimitar o identificar de cualquier otro modo que se han realizado cambios a la Obra Original. Una traducción, por ejemplo, podría señalar que "La Obra Original fue traducida del inglés al portugués", o una modificación podría indicar que "La Obra Original ha sido modificada";
Distribuir y ejecutar públicamente la Obra, incluidas las Obras incorporadas en Obras Colectivas; y
Distribuir y ejecutar públicamente Obras Derivadas.
Bajo las siguientes condiciones:
Atribución — Usted debe atribuir la obra de la manera especificada por el titular o por el licenciante original (pero no de una manera que sugiera que éste lo apoya o que suscribe el uso que Usted hace de su obra). En el caso de este trabajo, deberá incluir la URL del trabajo original (Fuente – http://cartilla.cert.br/) en todas las diapositivas.
Uso no comercial — Esta obra no se puede utilizar con fines comerciales.
Compartir bajo la misma licencia — En caso de alterar, transformar o ampliar este trabajo, Usted solo deberá distribuir el trabajo resultante bajo la misma licencia o bajo una licencia similar a la presente.
Advertencia — En toda reutilización o distribución, Usted deberá dejar claro cuáles son los términos de la licencia de esta obra. La mejor manera de hacerlo consiste en colocar un enlace a la siguiente página:
http://creativecommons.org/licenses/by-nc-sa/3.0/es/
La descripción completa de los términos y condiciones de esta licencia está disponible en:
http://creativecommons.org/licenses/by-nc-sa/3.0/es/legalcode.es
Contraseñas:
Una contraseña, o password, sirve para autenticar una cuenta, es decir, se usa en el proceso de verificación de la identidad del usuario, asegurando que realmente sea quien dice ser y que tiene derecho de acceder al recurso en cuestión. Es uno de los dos principales mecanismos de autenticación utilizados en Internet, principalmente debido a su simplicidad.
Tu cuenta de usuario es de conocimiento público y es lo que permite identificarte. Muchas veces se deriva de tu propio nombre, pero puede ser cualquier secuencia de caracteres que permita identificarte unívocamente, como por ejemplo tu dirección de correo electrónico. Los mecanismos de autenticación existen para garantizar que una cuenta solo sea usada por su dueño.
Existen tres grupos básicos de mecanismos de autenticación y éstos utilizan:
aquello que el usuario es:
información biométrica (huellas digitales, palma de la mano, la voz y los ojos)
aquello que solo el usuario posee:
una tarjeta de contraseñas bancarias, token generador de contraseñas.
aquello que solo el usuario sabe:
preguntas de seguridad, contraseñas.
Contraseñas:
Estas son algunas de las formas en que tu contraseña puede ser descubierta:
si la utilizas en computadoras infectadas. Una vez que infectan una computadora, muchos códigos maliciosos guardan las teclas que pulsas (incluidas las contraseñas), espían el teclado a través de la cámara web (si tienes instalada una cámara apuntando al teclado) y registra la posición de la pantalla donde se hace clic el mouse;
si la utilizas en sitios falsos (phishing). Cuando escribes tu contraseña en un sitio falso pensando que estás en un sitio verdadero, un atacante puede guardarla y luego utilizarla para acceder al sitio verdadero y allí realizar operaciones en su nombre;
mediante intentos de adivinación;
si es capturada mientras transita por la red sin estar encriptada;
mediante el acceso al archivo donde se almacena la contraseña si ésta no se ha encriptado;
con el uso de técnicas de ingeniería social, como una forma de persuadirte para que la entregues voluntariamente;
observando el movimiento de tus dedos en el teclado o de los clics del mouse en los teclados virtuales.
Riesgos principales :
En las diapositivas siguientes presentamos algunos de los principales riesgos asociados con el uso de contraseñas.
Riesgos principales :
Si alguien conoce tu cuenta de usuario y tiene acceso a tu contraseña, esta persona podría usar esta información para hacerse pasar por ti en Internet y realizar acciones en su nombre, como por ejemplo:
acceder a tu cuenta de correo electrónico y:
leer tus correos;
robar tu lista de contactos;
enviar mensajes en tu nombre, conteniendo spam, engaños, phishing y códigos maliciosos;
solicitar que reenvíes las contraseñas de otras cuentas a esta dirección de correo electrónico (para poder acceder a las mismas);
cambiar la contraseña, dificultando así que puedas ingresar nuevamente a tu cuenta.
Riesgos principales :
Si alguien conoce tu cuenta de usuario y tiene acceso a tu contraseña, esta persona podría usar esta información para hacerse pasar por ti en Internet y realizar acciones en su nombre, como por ejemplo:
acceder a tu red social y:
dañar tu imagen;
abusar de la confianza de tus amigos/seguidores;
enviar mensajes en tu nombre, conteniendo: spam, rumores, phishing y códigos maliciosos;
cambiar la configuración que seleccionaste, haciendo pública la información privada;
cambiar tu contraseña, dificultando así que puedas ingresar nuevamente a tu perfil.
Riesgos principales :
Si alguien conoce tu cuenta de usuario y tiene acceso a tu contraseña, esta persona podría usar esta información para hacerse pasar por ti en Internet y realizar acciones en su nombre, como por ejemplo:
acceder a tus cuenta bancarias y verificar el saldo y el movimiento de tus cuentas;
acceder a tu sitio de comercio electrónico y:
realizar compras en tu nombre;
modificar la información de registro;
verificar información sobre tus compras anteriores;
acceder a tu dispositivo móvil y:
robar tu lista de contactos y tus mensajes;
acceder y/o copiar tus fotos y videos;
bloquear el acceso al dispositivo;
borrar completamente los datos almacenados.
Cuidados a tener en cuenta:
En las próximas diapositivas presentamos algunos de los principales cuidados que se deben tener en cuenta en relación con las contraseñas.
Elección de contraseñas:
Una buena contraseña, bien elegida, es una contraseña difícil de descifrar (fuerte) y fácil de recordar. No es recomendable escoger una contraseña fuerte si a la hora de utilizarla no la recuerdas. Tampoco conviene escoger una contraseña fácil de recordar si un atacante también puede adivinarla fácilmente.
Algunos elementos que no debes usar al escoger tus contraseñas:
Cualquier tipo de dato personal: Evita usar nombres, apellidos, nombres de usuario, números de documentos, matrículas de automóviles, números de teléfono y fechas (una persona que quiera hacerse pasar por ti podría obtener y utilizar estos datos fácilmente).
Secuencias de teclado: Evita las contraseñas en las cuales los caracteres están relacionados entre sí por su proximidad en el teclado, como por ejemplo “1qaz2wsx” y “QwerTAsdfG”, ya que son bastante conocidas y alguien que te observa podría deducirlas fácilmente.
Palabras que forman parte de una lista: Evita las palabras que aparecen en listas conocidas públicamente, como nombres de canciones, equipos de fútbol, personajes de películas, diccionarios de diferentes idiomas, etc. Existen programas que intentan descubrir las contraseñas combinando y probando estas palabras, por lo que no debemos usarlas.
Elección de contraseñas:
Algunos elementos que debes usar al escoger tus contraseñas:
Números aleatorios: Cuanto más aleatorios sean los números utilizados mejor, especialmente en los sistemas que solamente aceptan caracteres numéricos.
Muchos caracteres: Cuanto más larga sea la contraseña más difícil será descubrirla. Aunque en un primer momento las contraseñas largas parecen difíciles de ingresar, con el uso frecuente terminan siendo fáciles de escribir.
Diferentes tipos de caracteres: Cuanto más "desordenada" sea la contraseña más difícil será descubrirla. Intenta mezclar caracteres, como números, signos de puntuación y letras mayúsculas y minúsculas. Usar signos de puntuación puede hacer que la contraseña sea bastante difícil de descubrir, pero sin que necesariamente sea difícil de recordar.
Uso de las contraseñas:
No reveles tus contraseñas
asegúrate de que nadie esté mirando cuando las digites;
no las dejes anotadas donde otros puedan verlas (por ejemplo, en un papel sobre la mesa o pegado a tu monitor);
evita ingresarlas en computadoras y dispositivos móviles de otras personas
No entregues tus contraseñas a otras personas
cuidado con los correos electrónicos y las llamadas telefónicas solicitando datos personales
Utiliza conexiones seguras siempre que el acceso implique el uso de contraseñas
Uso de las contraseñas:
Evita:
guardar tus contraseñas en el navegador Web;
evita usar opciones como “Recordar cuenta” y “Seguir conectado”;
usar la misma contraseña para todos los servicios a los que te conectas (basta con que un atacante obtenga una contraseña para que pueda acceder a las demás cuentas donde la utilizas).
No utilices las contraseñas de uso profesional para acceder a asuntos personales (y viceversa). Respeta los contextos.
Cambio de las contraseñas:
Debes cambiar tu contraseña:
Inmediatamente:
si crees que tu contraseña ha sido descubierta o que una computadora en la cual has usado tu contraseña ha sido hackeada o infectada.
Rápidamente:
si han robado o has perdido una computadora donde estaba guardada;
si utilizas un modelo para la formación de contraseñas y sospechas que una de ellas ha sido descubierta (debes cambiar el modelo y todas las contraseñas que hayas formado con el mismo, ya que un atacante podría inferir las demás);
si usas la misma contraseña en más de un sitio y crees que ha sido descubierta en alguno de ellos (cambia la contraseña en todos los sitios donde la uses)
al adquirir dispositivos accesibles a través de la red, como por ejemplo enrutadores Wi-Fi y módems ADSL (muchos de estos dispositivos vienen configurados de fábrica con una contraseña por defecto que se puede encontrar fácilmente en Internet por lo que, de ser posible, debe ser modificada).
Regularmente: en los demás casos, como forma de asegurar la confidencialidad.
Recuperación de las contraseñas:
Incluso si has tenido cuidado al escoger tu contraseña y has utilizado mecanismos de administración, podría ocurrir que la pierdas. Para restablecer el acceso perdido, algunos sistemas ofrecen recursos tales como:
permitir que respondas una pregunta previamente determinada;
enviar la contraseña (actual o nueva) a la dirección de correo de recuperación previamente definido;
confirmar tus datos de registro, como tu fecha de cumpleaños, país de origen, nombre de tu madre, números de documentos, etc.;
presentar un indicio de contraseña previamente registrado;
enviarla por mensaje de texto a un número de celular previamente registrado.
Cuando utilices preguntas de seguridad:
evita registrar preguntas que se puedan averiguar fácilmente, como el nombre de tu perro o de tu madre;
trata de crear tus propias preguntas, preferentemente con respuestas falsas. Ejemplo: Si tienes miedo a las alturas, podrías crear la pregunta "¿Cuál es tu deporte favorito?" y colocar como respuesta "paracaidismo" o "alpinismo".
Phishing y códigos maliciosos:
Desconfía de los mensajes que recibas: no consideres que un mensaje es confiable sobre la base de la confianza que depositas en el remitente, ya que el mensaje puede haber sido enviado desde una cuenta hackeada, un perfil falso o puede haber sido falsificado.
Evita hacer clic o seguir enlaces recibidos en mensajes electrónicos: trata de escribir la URL directamente en el navegador.
Evita utilizar un buscador para acceder a servicios que requieran contraseñas, como tu correo electrónico web y tus redes sociales.
Ten cuidado al hacer clic en enlaces acortados: utiliza complementos que permitan expandir el enlace antes de hacer clic sobre el mismo.
Computadoras de terceros:
Asegúrate de cerrar tu sesión (logout) cuando accedas a sitios que requieran el uso de contraseñas.
Siempre que sea posible, trata de usar opciones para navegar en forma anónima.
Evita realizar transacciones bancarias y comerciales.
Al regresar a tu computadora, trata de cambiar cualquier contraseña que hayas utilizado.