Algunos consejos (quizá el que Ud. más necesita no está aquí):
Los dominios: Un concepto clave para usar internet con seguridad es conocer bien lo que son los dominios. Los dominios son los nombres de los sitios de internet. Así seat.es es el sitio de internet de la empresa SEAT S.A., donde nos hablará de sus coches, etc. El sitio google.com es el sitio donde está el buscador de google, el sitio aemet.es es el sitio del servicio meteorológico español. Etc.
Los dominios se compran y se venden. Es decir, hay gente que vive de comprar dominios y luego revenderlos. Es decir, puedo comprar hoy un dominio con nombre pepito-el-de-las-patatas-fritas.com y mañana revendérselo a alguien que quiera montar un negocio de patatas fritas y quiera usar ese nombre. Cuando se crearon los dominios, cada empresa tuvo preferencia de compra de los dominios que correspondían con su nombre. Así, SEAT pudo comprar seat.es, y así cada empresa tiene el dominio que corresponde a su nombre (más o menos, pues no existe la empresa SEAT S.A., sino "Sociedad Española de Automóviles de Turismo, S.A."). Ese "más o menos" es el que usan los delincuentes para engañar a la gente, y así, pueden tener un dominio ing.net que no tiene nada que ver con ing.es, que es el del banco Ing.
El dominio se usa en las direcciones de correo y en los sitios web, de internet. La dirección de correo pepito@seat.es es de alguien que trabaja en la empresa dueña del dominio seat.es, que es SEAT S.A. (el dominio es lo que va después de la "@").
También puede ser el caso de pepito@gmail.com, que es de alguien a quien gmail.com le da servicio de correo. Gmail.com es un dominio de la empresa Google. Así como pepito@hotmail.com es de alguien a quien hotmail.com le da sericio de correo. Hotmail.com es de la empresa Microsoft.
En el nombre de los sitios web, el dominio es la parte principal del nombre, y es justo las dos últimas palabras, separadas por un punto, que preceden al "/" (o lo último). Es decir, en http://google.gmail.correo-google.com/login/?id=34566 el dominio es correo-google.com, que puede no tener nada que ver con la empresa Google, porque cualquiera puede comprar un dominio que contenga la palabra "google" y más cosas (pepito-google.com).
(En algunos países, los dominios tienen tres palabras: theguardian.co.uk)
Igualmente, http://agencia-tributaria.inspecciones.gestion-fraude-aeat.com tiene como dominio gestion-fraude-aeat.com que puede no tener nada que ver con la Agencia Tributaria, por mucho que el nombre del dominio tenga AEAT dentro.
Ya vemos por dónde nos van a intentar engañar. Vamos por pasos.
El engaño ha existido siempre y existirá: El que no sabe discernir los mensajes del banco verdaderos de los fraudulentos, que crea que "le ha tocado un premio" a algo que no ha jugado, que cree si le dicen que tiene un pariente desconocido rico que le ha legado, que cree que por error recibe una información interesante,...
Las empresas tienen que tener cuidado especialmente con los mensajes que reciban de sus proveedores pidiéndoles el cambio de la cuenta corriente de pago, pues pueden ser mensajes falsos (o recibir facturas falsas).
Wifi: no usar para nada serio las redes públicas gratuitas. Sí pueden usarse las que requieren contraseña, como dentro del AVE.
Cambiar el nombre al router, para que no se sepa de qué compañía es y poner una buen contraseña al usuario administrador.
Claves (passwords, contraseñas): deben ser complicados (mayúsculas, minúsculas, números y signos de puntuación) y cuanto más largos, mejor. Nunca menos de 8 de longitud. No usar la misma clave para diferentes cosas.
En los ordenadores de las empresas o nuestros, no se almacenan las claves tal como nosotros las metemos, sino convertidas a unos números (llamados "hash"). La forma cómo se convierte eso que metemos al hash es algo conocido. A partir del hash no hay manera de saber la clave, sólo "probando". Cuando en las noticias dicen que roban a las empresas los códigos de usuario y las claves, no es exactamente eso, roban los códigos de usuario y los hash. Con ellos los ladrones no pueden suplantar ya nuestra identidad, tienen primero que descubrir la clave que, aplicada la fórmula conocida, produce el hash. Y ahí está la importancia de las claves complicadas y largas. Si la clave es así, los ladrones se tirarán muchos años, dedicando un ordenador sólo a eso, hasta encontrar la clave en base a ir probando.
Lo que ocurre es que a veces, los ladrones tienen a sus servicio (infectados) miles o millones de ordenadores, que pueden usar para que trabajen en encontrar las claves anteriores (igual que también los usan para "minar" criptomonedas). Es decir, que debemos tener una clave lo más larga y complicada posible y que, cuando nuestro proveedor nos avise de que hemos de cambiar las claves porque se las han robado, procedamos a hacerlo sin prisa pero sin pausa.
Dado que la gente tiene tendencia a usar palabras en sus claves "complicadas", como "Pepito-123", los ladrones usan diccionarios para probar primero las claves que contienen palabras y así tener posibilidad de, en un tiempo razonable, encontrar la clave. Si así no lo consiguen, lo dejan, porque ellos sólo trabajan si esperan conseguir algo que les compense.
¿Dónde guardar las claves tan complicadas? Pues unas en la memoria (de nuestra cabeza), otras en un fichero en el ordenador o memoria USB, otras en papelitos,... Recordemos que el jefe de la inteligencia española, Sr. Manglano, guardaba "sus cosas" en "papelitos".
Virus: Considerar volver al estado de fábrica el móvil de vez en cuando. Para hacer limpieza de todo.
Pagos sin contacto con el móvil (NFC). Parece que hay algún profesor de universidad que avisa de su vulnerabilidad.
Ni caramelos, ni memorias USB de desconocidos: hay unos aparatitos con apariencia de memoria USB pero que no lo son, se llaman "Rubber Ducky": si encontramos una memoria USB, a la papelera.
Todo lo que publicamos en las redes sociales puede (va a) ser utilizado por profesionales para sus fines: desde vendernos lavadoras, hasta robarnos, extorsionarnos, manipularnos,... Creer que el trabajo de esos profesionales es inútil es creer que les pagan por nada.
Siempre que recibamos un mensaje, hemos de leer de quién proviene: pepe@dominio. Si el dominio no es con seguridad el que parece ser (y pone ing.net, cuando la web del banco es ing.es), pues es un engaño. Si nos ofrecen pulsar sobre un enlace y tampoco es de un dominio que conozcamos con seguridad (banco, agencia tributaria, etc.), pues es otro engaño.
Hemos de saber con certeza y detalle el dominio de nuestro banco.
Si alguien nos escribe desde juanita@correo-google.com, nos está escribiendo desde el dominio correo-google.com. Él puede no tener nada que ver con la empresa Google.
Si nos envían un mensaje (email o SMS) con un enlace que nos piden clicar, el sitio de destino del enlace puede ser diferente de lo que vemos en el mensaje, y sólo mostrarse realmente el sitio a donde nos lleva al ir (empezamos a equivocarnos) o al poner el cursor sobre el mismo (¡sin hacer clic!) durante uno o dos segundos (¡sólo en los PC, pues los móviles no tienen ratón para colocar el cursor sobre el mismo!).
Si recibimos un mensaje de Correos, del banco, de una empresa de mensajería diciéndonos lo que sea, además de hacer lo anterior, si aún creermos que puede ser un mensaje verdadero, en vez de seguir lo que nos dice el email o SMS, conectémonos con el navegador a esa empresa y verifiquemos si lo que dice es cierto.
En los últimos años aparecen noticias de que han robado a empresas famosas sus listados de usuarios con sus datos personales (ya hemos comentado antes que no pueden robar las claves, sólo los "hash").
Hay una web (haveibeenpwned punto com) que gratuitamente nos informa de si nuestro correo electrónico o teléfono aparecen entre los datos robados a empresas en internet. Gratuitamente a cambio de que precisamente les digamos un correo electrónico y un teléfono. ¿Es gente verdaderamente altruista o están recopilando direcciones y teléfonos para venderlos?
Hay otra web (phishingquiz punto withgoogle punto com) que pone a prueba nuestra capacidad de detectar mensajes falsos. Nos presenta varios ejemplos que hemos de calificar como "phishing" o "verdadero", y luego nos explica por qué eran phishing algunos de ellos. ¿Es gente verdaderamente altruista o están consiguiendo las IP de la gente que participa junto a su grado de conocimiento para luego hacer ataques a los que han fallado más? Como hemos explicado antes, "withgoogle.com" es un dominio que puede (casi seguro) no tener nada que ver con la empresa Google.
Últimamente (2023) se dan muchos casos de ransomware (ataques en los que cifran todos los datos de los ordenadores de la víctima y piden un rescate por dar la clave de desencriptado) (En esta web dicen como desencriptar algunos. Evidentemente, no hay que pagar nunca). Tanto estos como otros tipos de malware (que pueden borrar o alterar datos), deben prevenirse haciendo copias de seguridad. Y con otras acciones, como enseñar al personal de informática todo esto que hemos explicado antes para evitar que entre el ransomware (o malware) aprovechando una vulnerabilidad de la gente (su curiosidad, ingenuidad, ambición,...); además de que los técnicos informáticos deben cuidar los equipos para que, por el factor ordenador, puedan entrar.
Pero deben hacerse sin dejar los discos de copia conectados continuamente a los ordenadores que hacemos copia. Debemos hacer varias copias y dejarlas en sitios separados. Porque hay accidentes (incendios, inundaciones,...) que pueden afectar a todo un edificio y no conviene que se destruyan los ordenadores con todas las copias al lado.
El ransomware (u otro ataque de malware), en parte debe prevenirse como cualquier otra incidencia grave informática (discos que estropean, accidentes, etc.).
Hay muchos riesgos que se previenen con una buena organización. Por ejemplo, tener PC dedicados a navegar por internet, a conectarnos a los bancos, etc. Generalmente no es necesario que todo el personal tenga acceso a internet desde su ordenador. O si lo tiene, debe restringirse las cosas que pueda hacer.
Tener un PC con Windows, donde descargamos todos los programas gratuitos que nos ofrecen, es incurrir en muchísimo riesgo de tener problemas, y provocar riesgos o problemas a nuestros conocidos.
El Linux es un sistema operativo (como pueden ser el Windows o el MacOS o el Android de los móviles) que fue creado tomando en cuenta la seguridad desde el principio. Eso, junto a que es público como está hecho, hace que tenga menos vulnerabilidades. Cuando se creó era sólo utilizable por los técnicos, pero desde hace bastantes años ya es utilizable por cualquiera no técnico: no tiene grandes diferencias con los demás sistemas y tiene alguna funcionalidad muy ventajosa (los escritorios virtuales). Además añade que necesita menos potencia del ordenador para funcionar, y que hay mucho software gratuito (legal) para él, que, aunque frecuentemente no tiene todas las funcionalidades de los softwares de pago, para el común de los usuarios les sirve. (A veces ocurre al revés, que sus programas son mejores que los de pago).
La inmensa mayoría de ordenadores que forman la red de internet (los servidores) funcionan con Linux. Cada vez se extiende más su uso y quizá por ello Microsoft da gratis desde hace algunos años su sistema operativo (por el que antes cobraba).
Si a ello añadimos la aparición de los SBC (ordenadores de tamaño de una tarjeta de crédito), baratos y que gastan muy poco, pues cada vez hay más razones para tener muchos más ordenadores, dedicados a tareas específicas (navegar por internet, conectarse al banco,...) desconectados del resto. Y si, de vez en cuando, queremos pasar alguna información, pues para eso están las memorias USB. Tenerlos desconectados entre sí dificulta que cualquier problema informático afecte a todos los ordenadores. (sobre el Linux y SBC ver lo dicho en otro artículo).
Acabo de publicar unos libros muy interesantes sobre el cielo y el ángel de la guarda, de sacerdotes de principios del siglo XX. Tienen reseñas de los mismos en esta página de mi otra web |
Rezar el Rosario (mejor en latín) es el principal recurso que nos queda.
Estas páginas son apuntes que pueden contener errores de un servidor y se van mejorando con el tiempo y la gracia de Dios.
Copyright - Aviso legal y ciberseguridad - Bendita eres Santa María, madre de Dios