Cuando se habla de seguridad informática en internet ya habrás escuchado y leído miles de consejos, como aquello de que hay que tener contraseñas fuertes y bien guardadas, mantener actualizado el sistema, y mil y un consejos más.
Sabes que los hackers intentan sacarte tu contraseña con ataques de fuerza bruta, o aprovechar vulnerabilidades del software de tu web para ejecutar un exploit, y conseguir el acceso. Buscan una puerta trasera, un descuido.
Pero en estos años que he estado peleando por mejorar la seguridad informática en internet, he ido descubriendo errores que se cometen y que tienen que ver con riesgos poco conocidos y que no se tienen en cuenta cuando hablamos de proteger una web. Y de eso quiero hablarte hoy.
¿Dónde empieza la seguridad informática en internet?
Imagina que tu web es tu casa. En realidad, en cierto modo es así.
¿Qué medidas aplicarías para proteger tu hogar?
Pues lógicamente, empezarías por medidas internas, pero también pondrías en marcha algunas medidas de índole externa, ¿no es así? Me refiero por una parte a, por ejemplo, cerrar la puerta con llave cada vez que sales de casa, y por otra parte poner una alarma o una cámara de seguridad.
Pero, ¿en qué riesgos de seguridad informática en internet debemos de centrar nuestra atención?
Riesgo #1. No proteger tu ordenador adecuadamente
¿Y qué tiene que ver tu ordenador con tu Web?
Pues fácil. ¿Desde dónde te conectas?
De nada te sirve tener la contraseña más fuerte, de 12 caracteres, con símbolos y rarísima, vamos, una %$&hJY78@; que parece una palabrota de dibujos animados. Y que por no tener el antivirus actualizado, tengas un keylogger que acaba de capturarla completamente.
¡Bam! Tu seguridad informática en internet ha quedado comprometida.
Y no te creas que por usar Mac OS o Linux estas a salvo. Existen keyloggers para estos sistemas también, si bien es cierto que son muchos más seguros, más difícil infectarte con algo, y existen menos amenazas para ellos, precisamente por la complicación y por estar menos difundidos.
Protege tu ordenador como debes, y no uses tu estación de trabajo para ocio.
Riesgo #2. Usar redes Wifi ajenas no es una buena práctica de seguridad informática en internet
¡Qué libertad se siente al ser blogger! ¡O al tener un negocio en la nube!
¿Por qué no aprovechar el ratito de almuerzo, para conectarte en la red wifi del restaurante, y ver si tienes pedidos o comentarios?
¿Y qué me dices de poder ver tu email en tu smartphone? Todo mientras haces tus compras en el centro comercial y aprovechas su red, y así no gastas tus megas.
Ah, y eso si no eres un pillín, y aprovechas la red wifi del vecino, ese que no te cae bien, y se compra esos coches tan caros. ¡El ADSL que lo pague él!
Situaciones que no se alejan tanto de la realidad, y suceden cada día. Pero esto es lo que puede ocurrir:
- El restaurante Casa Pepe no tiene red wifi. La red que viste de nombre CASA_PEPE_WIFI y estaba abierta la creo un hacker para que todo el tráfico pasara por su tablet y robar los datos.
- Mientras estabas en el centro comercial, otro hacker tomaba café y “sniffaba” (básicamente, esto es monitorizar y extraer datos) la red, capturando el tráfico de datos, y accediendo a tus contraseñas.
- Y el vecino se enteró que te colabas en su Wifi, y buscando en “San Google” encontró como pillarte las contraseñas, y ahora no puedes acceder a tus cuentas.
De nuevo la hemos liado, pues tú no puedes controlar la seguridad informática en internet de otros.
Usa tus propias conexiones. Hoy en día es barato tener conexión de datos en el móvil, y si necesitas usar el portátil puedes compartir con él la conexión del móvil.
Protege bien tu propia conexión empleando al menos una encriptación WPA2.
Y por último, usa siempre que puedas conexiones seguras SSL. Así los datos van encriptados y aunque se capturen no son útiles.
Riesgo #3. No cambiar las claves con las que te crearon la web
Conozco un caso verídico 100%. ¿Te lo cuento?
Venga va, aquí tienes la batallita.
Se trata de una empresa que se dedica a vender coches de ocasión, y por ahorrarse unos duros no contrataron un diseñador profesional. Querían una web que atrajese a más clientes, lógicamente.
Hicieron un trato con un chaval que se compraba un coche y les dijo que era desarrollador. Les hizo una web en PHP a cambio del coste de los trámites. Vamos, unos 150€. Aparte contaron con él para algunas mejoras.
Sucedió un día que no contaron con él para hacer algunos cambios. Así que de repente se encontraron que su web no estaba.
Me contrataron para recuperar su web, y averiguar qué fallos de seguridad informática en internet habían ocurrido.
El tema estaba claro. Bastó acceder a los logs del servidor para ver que habían accedido al servidor por FTP, con la cuenta de administrador, y desde una IP determinada, borrando todos los ficheros y la base de datos.
Esa IP era de la ciudad del chaval que diseño la web. Y además justo antes había habido intentos de recuperar una contraseña, usando una cuenta de correo, desde una IP. La misma IP que el atacante, y ¡era su email!.
Así que en blanco y en botella…
Confiaron en quien les diseñó la web, y no pusieron medidas preventivas para el caso de que esta persona tuviese una rabieta.
Pedazo de cagada…
Les pude recuperar la web desde unos backups, y finalmente no se llegó a denunciar al “diseñador” porque lo que importaba era recuperar lo perdido, y se pudo lograr.
Curiosamente sigue el dueño racaneando en diseñar una web mejor, con copias automáticas y una defensa eficaz. ¡A ver si en breve entre el encargado y yo le convencemos!
No confíes en nadie.
Ten tú solo el acceso, y para quien tenga que entrar créale un usuario que después eliminaras. Y sobre todo, contrata profesionales, porque las personas somos el principal foco de errores de seguridad informática en internet.
Riesgo #4. Usar la misma clave del email para otros servicios
Es cómodo usar la misma clave para todo.
Pero muy peligroso.
Con la misma web de la que te hablaba antes, cuando la recuperé me di cuenta de algo.
En la base de datos de usuarios de la web, que se suscribían para recibir ofertas, la contraseña no estaba cifrada. O sea que no era segura, y yo mismo la podía ver.
No lo probé, pero seguro que de 800 personas que había, en un gran porcentaje, usando su correo y contraseña, hubiera entrado en su cuenta de email, su Facebook, etc…
Y claro, si accedo a tu email, puedo recuperar las contraseñas de tus webs.
Otro error mostarlll
De las primeras cosas que hice fue aplicar un algoritmo para que se almacenarán las contraseñas cifradas. Me pareció una falta grave de privacidad y un fallo de diseño garrafal.
Por suerte, lógicamente nadie de la empresa tenía conocimientos para acceder a la base de datos y haber usado esa información.
Pero parte del problema hubiera sido del usuario por usar la misma contraseña para todo. Con servicios como LastPass es sencillo generar una clave para cada servicio y almacenarla, sin tenerla que recordar.
O al menos maneja 3 ó 4 claves diferentes. Una más profesional y exclusiva, otra para ocio, foros, etc… Otra para tus compras,… Así por lo menos separas algo.
Riesgo #5. Cuidado con lo que instalas en tu smartphone o tablet
Ya sabes que tienes que usar tu propia conexión, y no redes wifi públicas para ver tu correo y entrar en tu web/blog/tienda. ¡Bien por aplicar esas medidas de seguridad informática en internet!
Y de vez en cuando hay que descansar, y puedes echar un ratillo jugando algún juego en el móvil. O viendo noticias de Meneame.net, pero mejor te instalas una app. ¡Más cómodo aún!
El problema es que muchas de esas apps las hacen para robarte datos. La mayoría datos para inflarte a publicidad. Algunos con un objetivo más malicioso.
Así que si no tienes cuidado con lo que instalas, o no miras los permisos de las aplicaciones, prepárate para sufrir…
Revisa bien los permisos. Y si puedes evitar juegos y apps chorras mejor.
Proteger tu smartphone es fácil, y yo personalmente no instalo nada que pueda comprometer mis datos ni mi seguridad informática en internet.
Y tú, ¿has tenido en cuenta estos riesgos cuando piensas en seguridad?
Estos riesgos que te he comentado son los más habituales, y en los que menos personas caen que puedan suceder.
Pero como ves son formas de perder igualmente tu trabajo y el tiempo y dinero invertidos en tu web. Son cosas a revisar que incluyo en mi eBook gratis para tener un blog optimizado, donde se incluye un checklist para revisar todos estos puntos.
¿Compartes conmigo las medidas de seguridad informática en internet que aplicas y qué te han parecido estos consejos?