10 mitos de la ciberseguridad que conviene desterrar

En todos los aspectos de la vida existen mitos circulando por ahí. El sector de la ciberseguridad o seguridad informática no está exento de este tipo de mitos o «leyendas urbanas», que propugnan ideas sin fundamente de forma muy fácil.

Creer en mitos es libertad de cada uno y no es peligroso en sí mismo, pero sí lo es cuando acabamos con una tarjeta de crédito robada o una cuenta de email hackeada por no haber actuado acorde a la situación.

Mitos en seguridad informática que perjudican a quien los cree

Vamos a repasar hoy algunos de estos mitos y desmentirlos, explicando por qué no se sostienen.

Esto no me va a pasar a mi

La gente -y las empresas- tendemos a sentirnos a gusto tras los números.

Normalmente vemos empresas grandes en las noticias que han sido afectadas por ciberamenazas, lo que puede generar la impresión de que se trata solo de casos aislados y que desde luego no afectan a pequeñas empresas o individuos.

Los virus, el ransomware y otras amenazas aumentan significativamente en número y sofisticación, lo que significa que las opciones de que seamos atacados siempre está en aumento.

Uso una contraseña fuerte, estoy seguro

Una contraseña fuerte es un buen comienzo para proteger tus cuentas, pero no debemos fiarlo todo a una contraseña, dejando que sea lo único que nos separe del ciberdelincuente.

Es frecuente que se filtren decenas o miles de cuentas de correo y/o contraseñas hasheadas, por lo que es necesario comprobar de vez en cuando webs como HaveIBeenPwned.

Además, es preciso utilizar un gestor de contraseñas (como Abine Blur) que nos ayudará a recordarlas y sobre todo a cumplir con una de las máximas principales: no repetir nuestra contraseña en todos los sitios que visitamos.

Por último y no menos importante, es muy recomendable dar de alta autenticación en dos pasos o factores en todos aquellos servicios web que utilicemos. 2factorauth.org nos puede dar esa información.

Nunca navego en sitios «raros», estoy a salvo

No acceder a sitios web de dudosa reputación o no meterse en la Dark Web son buenas costumbres que nos ayudarán a estar  un poco más lejos de delincuentes, pero solo reduce el riesgo, no lo elimina.

Incluso los sitios web con buena reputación pueden ser infectados a través de vulnerabilidades no corregidas o de anuncios de terceros. Ocurre con frecuencia y de esta manera se infectan muchos internautas.

Los atacantes pueden comprometer webs de otras formas y los usuarios ni siquiera tienen que abrir un navegador para infectarse. Los emails son el medio más común de infección, pero basta incluso con que no tengamos todas las actualizaciones del sistema operativo al día y ocurra «algo más» ajeno a nuestro control.

Por eso recomendamos contar con una solución antivirus o antimalware de calidad, que unida a un navegador actualizado pueda detener la gran mayoría de ciberataques.

La seguridad es cara

Los individuos y pequeñas empresas que piensan que las soluciones de seguridad son demasiado caras normalmente no tienen en cuenta el coste de las fugas de información, de la pérdida de servicio, de clientes o reputación.

Perder unos valiosísimos datos puede -y suele- llegar a ser mucho más caro que invertir en seguridad. A veces tanto, que es imposible cuantificar el valor.

Mis datos no son importantes/no le interesan a nadie

No os imagináis la cantidad de veces que escuchamos esto en conversaciones, sobre todo con gente menos tech-friendly. Esto es una mera ilusión y uno de los mitos más dañinos ahí fuera.

Una combinación de nombre de usuario y contraseña puede ser utilizada de formas muy diversas y nocivas, para tu intimidad, seguridad o economía.

Principalmente porque reutilizamos las contraseñas mucho más de lo que debiéramos. Esto posibilita que se «pivote» entre cuentas diferentes, lo que empezó como un foro en el que estaba registrado hace años, ahora ha acabado costando mi acceso al email y otros servicios.

Y cuando llegan a las cuentas del banco, mejor no hablemos…

Los ataques de tipo ransomware secuestran nuestros archivos (tanto si están en nuestro disco, como en la nube) y nos piden un rescate muy cuantioso para recuperarlos. Aunque hay aplicaciones para prevenir el ransomware.

Tengo un antivirus y con eso basta

Ojalá fuera cierto, de hecho hace ya años casi se podía afirmar sin que nos mirasen de forma rara (los gurús claro, no la vecina de arriba) porque en la época de los virus fáciles todo era diferente.

La complejidad y cantidad de los vectores de ataque de hoy en día requieren un enfoque más proactivo y complejo.

Los modernos ataques de phishing -normalmente dirigidos al sector empresarial donde la presa es más grande- usan la ingeniería social y la tendencia a confiar del ser humano en su favor.

En general (aunque en diferente medida) tanto individuos como empresas o gobiernos deberían tender a una defensa en profundidad, como una cebolla de muchas capas, que a una defensa de un punto único. No olvides la importancia de mantener tus programas actualizados.

Seguro que me doy cuenta de que me han infectado

Pues no es tan seguro. Los ordenadores de hoy en día en muchas ocasiones no exhiben síntomas inequívocos a primera vista.

Sin ayuda, no podemos saber si alguien están usando la webcam de nuestro equipo, cuando acceden ilegítimamente a nuestro email (esto empieza a cambiar un poco) o cuando nuestro PC está unido a una botnet para lanzar ataques a otros dispositivos.

Solo aquellos ataques más devastadores como el ransomware serán visibles más temprano.

Pero incluso así en muchas ocasiones, estos tipos de malware tienen el cuidado de no alterar demasiado el comportamiento o el uso de recursos de nuestro equipo hasta haber agarrado su presa (en este caso, nuestros archivos).

Proteger la red y los ordenadores es suficiente

Quizá no, porque muchos de las amenazas no van dirigidas a ellos. Conviene recordar que cualquier aparato que disponga de un sistema operativo (o algo que se le parezca) es susceptible de ser atacado:

• Automóviles (a través de su info-entretenimiento)
• Vigilabebés
• DLNA (Chromecast y similares)
• Smart watches
• Marcapasos inteligentes
• Otras decenas de IoTs diferentes

Muchos de estos dispositivos están por defecto conectados a nuestra red doméstica y no necesitan autenticación adicional, así son perfectamente utilizables para colarse en la red cuando surge una vulnerabilidad.

Para impedir movimientos laterales en nuestra red puede ser muy conveniente contar con un dispositivo de seguridad para IoT como Firewalla, Bitdefender Box, etc.

El phishing no es peligroso, es fácil reconocerlo

El phishing es un método probado sobradamente y que sigue siendo el principal vector de ataque a personas y organizaciones. Esto es prueba de su efectividad actual.

Por supuesto, no todos los intentos de phishing son buenos -algunos dan bastante pena realmente- pero cuando no vemos signos claros tendemos a confiar, sobre todo si se dan una serie de circunstancias agravantes (prisa, amenazas, etcétera).

Estadísticamente, todos (he dicho todos) caeremos antes o después en algún intento de phishing. Y es que ni siquiera los profesionales de la ciberseguridad somos infalibles, como han demostrado algunos estudios.

• Entrenamiento antiphishing de SecurityIQ
• Test gratuito de phishing para empleados, de Knowbe4

No tengo un ordenador, no me van a hackear

¿Recuerdas el punto en el que hablé de los automóviles, los vigilabebés o los Chromecast? Pues eso, además de los estupendos teléfonos móviles que llevamos a todas partes y cuya potencia a veces supera a la de un ordenador, sobre todo por información que contienen.

Y qué decir de los routers -porque en España todo el mundo tiene uno  en casa- o de las SmartTV.

Conclusiones

Como habrás podido observar todos los mitos expuestos se pueden demoler fácilmente si uno tiene algo de experiencia de campo, o experiencia de nuestros allegados, que es también muy valiosa.

Llamadme aburrido, pero a veces es necesario volver a las enseñanzas más básicas. Además, este blog es para todos los públicos 🙂

Otras lecturas recomendadas

• ¿Cómo sé si me han hackeado?
• Como proteger mis cuentas online