Asegurar su vida digital, segunda parte: el panorama general y las circunstancias especiales

Heaven32 Comments
Asegurar su vida digital, segunda parte: el panorama general y las circunstancias especiales

ANDRZEJ WOJCICKI / BIBLIOTECA DE FOTOS DE CIENCIA / Getty Images

En la primera mitad de esta guía sobre seguridad digital personal, cubrí los conceptos básicos de la evaluación de riesgos digitales y la protección de lo que puede controlar: sus dispositivos. Pero los dispositivos físicos que usa representan solo una fracción de su exposición digital general.

De acuerdo a un informe de Aite Group, casi la mitad de los consumidores estadounidenses sufrieron algún tipo de robo de identidad durante los últimos dos años. Se espera que las pérdidas por estos robos alcancen los $ 721.3 mil millones para 2021, y eso solo cuenta los casos en los que los delincuentes toman el control y abusan de las cuentas en línea. Es posible que otras partes valiosas de su vida digital no conlleven riesgos monetarios específicos para usted, pero aún podrían tener un impacto tangible en su privacidad, seguridad y salud financiera en general.

Caso en cuestión: en septiembre pasado, un atacante no identificado apuntó a mi cuenta de Twitter para que la tomara. A pesar de que había tomado varias medidas para evitar el robo de mi cuenta (incluida la autenticación de dos factores), el atacante me impidió iniciar sesión (aunque también estaban bloqueados de la cuenta). Me tomó varias semanas y una comunicación de alto nivel con Twitter restaurar mi cuenta. Como alguien cuyo sustento está ligado a correr la voz sobre las cosas con una cuenta de Twitter verificada, esto fue más allá de los inconvenientes y realmente estaba arruinando mi trabajo.

El atacante encontró la dirección de correo electrónico asociada con mi cuenta de Twitter a través de una infracción en un agregador de datos—Información probablemente obtenida de otras aplicaciones que había vinculado a mi cuenta de Twitter en algún momento. No se produjo ningún daño financiero, pero me hizo analizar detenidamente cómo protejo las cuentas en línea.

Oh, oye, es este tipo de nuevo. (¿Quizás este es el tipo que intentó ingresar a mi cuenta de Twitter?)
Agrandar / Oh, oye, es este tipo de nuevo. (¿Quizás este es el tipo que intentó ingresar a mi cuenta de Twitter?)

Aitor Diago / Getty Images

Algunos de los riesgos relacionados con su vida digital los asumen los proveedores de servicios que se ven afectados más directamente por el fraude que usted. Las empresas de tarjetas de crédito, por ejemplo, han invertido mucho en la detección de fraudes porque su negocio se basa en la mitigación del riesgo de las transacciones financieras. Pero otras organizaciones que manejan su información de identificación personal —información que demuestra que usted es usted para el resto del mundo conectado digitalmente— son un objetivo igualmente importante para los delitos cibernéticos, pero es posible que no sean tan buenas para prevenir el fraude.

Todo cuenta en varias cuentas

Puede hacer varias cosas para reducir los riesgos que plantean las violaciones de datos y el fraude de identidad. La primera es evitar exponer accidentalmente las credenciales que usa con las cuentas. Una violación de datos de un proveedor de servicios es especialmente peligrosa si no ha seguido las mejores prácticas sobre cómo configurar las credenciales. Estas son algunas de las mejores prácticas a tener en cuenta:

  • Utilice un administrador de contraseñas que genere contraseñas seguras que no tiene que recordar. Este puede ser el administrador integrado en su navegador de elección, o puede ser una aplicación independiente. El uso de un administrador de contraseñas asegura que tenga una contraseña diferente para cada cuenta, por lo que la violación de una cuenta no se extenderá a otras. (Lamento volver a llamar a la persona que está reutilizando letmein123! por todo, pero es hora de afrontar la música.)
  • Cuando sea posible, utilice la autenticación de dos factores o de varios factores (“2FA” o “MFA”). Esto combina una contraseña con un segundo código temporal o reconocimiento de algún lugar que no sea su navegador web o sesión de aplicación. La autenticación de dos factores asegura que alguien que robe su contraseña no pueda usarla para iniciar sesión. Si es posible, no use 2FA basado en SMS, porque esto es más propenso a la interceptación (más sobre esto en un minuto). Aplicaciones como Authy
    , Dúo, Autenticador de Google, o Autenticador de Microsoft se puede emparejar con una amplia variedad de servicios para generar contraseñas temporales 2FA o para enviar notificaciones “push” a su dispositivo para que pueda aprobar un inicio de sesión. También puede utilizar una llave de hardware, como una Yubico YubiKey, para segmentar aún más la autenticación de sus dispositivos.
Impresión artística de cómo controlar a su departamento de TI.
Agrandar / Impresión artística de cómo controlar a su departamento de TI.

vinnstock / Getty Images

  • Configure una dirección de correo electrónico separada o un alias de correo electrónico para sus cuentas web de alto valor, de modo que todo el correo electrónico relacionado con ellas esté segmentado de su dirección de correo electrónico habitual. De esta manera, si su dirección de correo electrónico principal se ve afectada por una fuga de datos, los atacantes no podrán usar esa dirección para intentar iniciar sesión en las cuentas que le interesan. El uso de direcciones separadas para cada servicio también tiene el beneficio adicional de hacerle saber si alguno de esos servicios está vendiendo su información personal; solo mire dónde y cuándo comienza a aparecer el spam.
  • Si es residente de EE. UU., Asegúrese de reclamar una cuenta para su número de seguro social del IRS para el acceso a la información fiscal y otros fines. Gran parte del fraude de reembolsos y estímulos en los últimos años se ha relacionado con estafadores que “reclaman” cuentas de SSN que no estaban registrados con el IRS, y desenredar ese tipo de cosas puede ser doloroso.
  • Regístrese para verificaciones de violación de la cuenta, ya sea a través del servicio provisto a través de su navegador (Firefox o Chrome) oa través de Troy Hunt’s haveIbeenpwned.com (¡o ambos!). Los servicios del navegador compararán las contraseñas almacenadas con las listas de violaciones mediante un protocolo seguro, y también pueden señalar credenciales reutilizadas de riesgo.
  • Considere bloquear sus informes de crédito para reducir los riesgos de robo de identidad. Equifax proporciona una aplicación llamada Bloqueo y alerta que le permite bloquear su informe de crédito de todos los acreedores excepto los existentes, luego desbloquearlo desde la aplicación antes de solicitar un nuevo crédito. TransUnion tiene una aplicación gratuita similar llamada Identidad verdadera. Experian cobra $ 24,99 al mes para bloquee sus comprobaciones de créditoy TransUnion tiene una versión “premium” de su servicio que bloquea los informes de TransUnion y Equifax a pedido por $ 24.95 al mes. En otras palabras, si desea tener un control estricto sobre todos sus informes de crédito, puede hacerlo por $ 300 al año. (Puede, con algunas búsquedas, encontrar las versiones gratuitas de esos servicios de congelación de crédito:aquí está el de Experian y aquí está TransUnion—Pero hombre, esas empresas realmente, De Verdad quiere sacar un montón de dinero de su billetera a cambio de un montón de “valor agregado” altamente dudoso).

Cuando 2FA no es suficiente

Las medidas de seguridad varían. Después de mi experiencia en Twitter, descubrí que configurar 2FA no era suficiente para proteger mi cuenta; hay otra configuración llamada “protección con contraseña” que evita las solicitudes de cambio de contraseña sin autenticación a través del correo electrónico. Enviar una solicitud para restablecer mi contraseña y cambiar la cuenta de correo electrónico asociada a ella deshabilitó mi 2FA y restableció la contraseña. Afortunadamente, la cuenta se congeló después de múltiples solicitudes de reinicio y el atacante no pudo obtener el control.

Impresión artística de la autenticación de dos factores. En este ejemplo, no puede iniciar sesión sin una contraseña <em> y </em> un código generado por su teléfono.” src=”https://cdn.arstechnica.net/wp-content/uploads/2021/10/GettyImages-140080223-980×651.jpg” width=”980″ height=”651″/></a><figcaption class=
Agrandar / Impresión artística de la autenticación de dos factores. En este ejemplo, no puede iniciar sesión sin una contraseña y un código generado por su teléfono.

dcdp / Getty Images

Este es un ejemplo de una situación en la que las medidas de mitigación de riesgos “normales” no se acumulan. En este caso, fui atacado porque tenía una cuenta verificada. No es necesario que seas una celebridad para ser atacado por un atacante (ciertamente no me considero uno), solo necesitas que se filtre cierta información que te convierta en un objetivo tentador.

Por ejemplo, antes mencioné que 2FA basado en mensajes de texto es más fácil de omitir que 2FA basado en aplicaciones. Una estafa dirigida que vemos con frecuencia en el mundo de la seguridad es Clonación de SIM—Donde un atacante convence a un proveedor de telefonía móvil para que envíe una nueva tarjeta SIM para un número de teléfono existente y usa la nueva SIM para secuestrar el número. Si está utilizando 2FA basado en SMS, una clonación rápida de su número de teléfono móvil significa que un atacante ahora recibe todos sus códigos de dos factores.

Además, las debilidades en la forma en que se enrutan los mensajes SMS se han utilizado en el pasado para enviarlos a lugares a los que no deberían ir. Hasta principios de este año, algunos servicios podían secuestrar mensajes de texto, y todo lo que se requería era el número de teléfono de destino y $ 16. Y todavía hay fallas en el Sistema de señalización 7 (SS7), un protocolo clave de la red telefónica, que pueden resultar en el redireccionamiento de mensajes de texto si se abusa.

Leave a Reply

Your email address will not be published. Required fields are marked *