Asegure su vida digital, segunda parte: el panorama general y las circunstancias especiales

En la primera mitad de esta guía sobre seguridad digital personal, cubrí los conceptos básicos de la evaluación del riesgo digital y la protección de lo que puede controlar: sus dispositivos. Sin embargo, los dispositivos físicos que usa son solo una fracción de su exposición digital total.

Según un informe de Aite Group, casi la mitad de los consumidores estadounidenses han experimentado algún tipo de robo de identidad en los últimos dos años. Se proyecta que las pérdidas por estos robos alcancen los $ 721.3 mil millones en 2021, y esos son solo casos en los que los delincuentes toman el control y abusan de las cuentas en línea. Es posible que otras partes valiosas de su vida digital no representen riesgos monetarios específicos para usted, pero aún pueden tener un impacto notable en su privacidad, seguridad y salud financiera en general.

Caso en cuestión: en septiembre pasado, un atacante desconocido se apoderó de mi cuenta de Twitter. Aunque había tomado varias medidas para evitar que me robaran mi cuenta (incluida la autenticación de dos factores), el atacante me impidió iniciar sesión (aunque la cuenta también estaba bloqueada). Me tomó varias semanas y una comunicación de alto nivel con Twitter para recuperar mi cuenta. Como alguien que se gana la vida publicando cosas con una cuenta de Twitter verificada, esto fue más allá de los inconvenientes y fue realmente un bastardo con mi trabajo.

El atacante encontró la dirección de correo electrónico vinculada a mi cuenta de Twitter a través de una brecha de seguridad en un agregador de datos, información que probablemente provenía de otras aplicaciones que había vinculado a mi cuenta de Twitter en algún momento. No se produjo ningún daño financiero, pero sí me llevó a analizar detenidamente cómo protejo las cuentas en línea.

Parte del riesgo asociado con su vida digital lo asumen los proveedores de servicios que se ven más directamente afectados por el fraude que usted. Por ejemplo, las empresas de tarjetas de crédito han invertido mucho en la detección de fraudes porque su negocio se basa en minimizar el riesgo de las transacciones financieras. Pero otras organizaciones que manejan su información personal (información que demuestra su identidad al resto del mundo conectado digitalmente) son objetivos igualmente importantes para el ciberdelito, pero no son tan buenas para prevenir el fraude.

Todo cuenta en varias cuentas

Hay varias cosas que puede hacer para reducir el riesgo de violación de datos y fraude de identidad. La primera es evitar revelar accidentalmente las credenciales que usa con las cuentas. Una violación de datos en un proveedor de servicios es particularmente peligrosa si no ha seguido las mejores prácticas para configurar las credenciales. Estas son algunas de las mejores prácticas para tener en cuenta:

• Utilice un administrador de contraseñas que genere contraseñas seguras que no necesita recordar. Este puede ser el administrador integrado en su navegador de su elección o una aplicación independiente. El uso de un administrador de contraseñas asegura que tenga una contraseña diferente para cualquier cuentapara que una infracción de la cuenta no se extienda a otros. (Lamento tener que llamar a la persona de nuevo letmein123! por todo, pero es hora de afrontar la música.)
• Utilice la autenticación de dos factores o de varios factores («2FA» o «MFA») siempre que sea posible. Esto combina una contraseña con un segundo código temporal o confirmación desde una ubicación que no sea su navegador web o sesión de aplicación. La autenticación de dos factores garantiza que alguien que robe su contraseña no pueda usarla para iniciar sesión. Evite el uso de 2FA basado en SMS si es posible, ya que es más susceptible a las escuchas clandestinas (más sobre eso en un minuto). Las aplicaciones como Authy, Duo, Google Authenticator o Microsoft Authenticator pueden combinarse con una variedad de servicios para generar contraseñas 2FA temporales o enviar notificaciones «push» a su dispositivo para que pueda aprobar un inicio de sesión. También puede usar una clave de hardware como Yubico YubiKey para segmentar aún más la autenticación de sus dispositivos.

• Configure una dirección de correo electrónico separada o un alias de correo electrónico para sus cuentas web de alta calidad, de modo que cualquier correo electrónico relacionado con ellas se mantenga separado de su dirección de correo electrónico habitual. De esta manera, si su dirección de correo electrónico principal se ve comprometida, los atacantes no pueden usar esa dirección para intentar iniciar sesión en cuentas que son importantes para usted. El uso de direcciones separadas para cada servicio también tiene el beneficio adicional de saber si alguno de esos servicios está vendiendo su información personal; solo vea dónde y cuándo aparece el spam.
• Si es residente de EE. UU., Asegúrese de solicitar una cuenta con su número de Seguro Social con el IRS para acceder a la información fiscal y otros fines. Gran parte del fraude de reembolsos y estímulos en los últimos años se ha relacionado con estafadores que «reclaman» cuentas de SSN que no estaban registrados con el IRS, y resolver esto puede ser doloroso.
• Regístrese para la revisión de la infracción de la cuenta, ya sea a través del servicio proporcionado a través de su navegador (Firefox o Chrome), oa través de haveIbeenpwned.com de Troy Hunt (¡o ambos!). Los servicios del navegador verifican las contraseñas guardadas en busca de listas de infracción mediante un protocolo seguro y también pueden señalar credenciales reutilizadas de riesgo.
• Considere poner sus informes de crédito en espera para reducir el riesgo de robo de identidad. Equifax tiene una aplicación llamada Lock & Alert que le permite bloquear su informe de crédito para todos menos los proveedores existentes y luego desbloquearlo a través de la aplicación antes de solicitar un nuevo préstamo. TransUnion tiene una aplicación gratuita similar llamada TrueIdentity. Experian cobra $ 24.99 por mes para bloquear sus verificaciones de crédito, y TransUnion ofrece una versión «premium» de su servicio que bloquea los informes de TransUnion y Equifax a pedido por $ 24.95 por mes. En otras palabras, si desea un control estricto de todos sus informes crediticios, puede hacerlo por $ 300 al año. (Con un poco de investigación, puede encontrar las versiones gratuitas de estos servicios de congelación de crédito, esto es Experian y esto es TransUnion, pero hombre, estas compañías realmente, Sí, en serio quiere sacar una gran cantidad de dinero de su billetera a cambio de una serie de «valor agregado» altamente dudoso).

Cuando 2FA no es suficiente

Las medidas de seguridad varían. He descubierto por mi experiencia en Twitter que configurar 2FA no es suficiente para proteger mi cuenta; hay otra configuración llamada «Protección con contraseña» que evita las solicitudes de cambio de contraseña sin autenticación por correo electrónico. Enviar una solicitud para restablecer mi contraseña y cambiar la cuenta de correo electrónico asociada deshabilitó mi 2FA y restableció la contraseña. Afortunadamente, después de varias solicitudes de restablecimiento, la cuenta se bloqueó y el atacante no pudo obtener el control.

Agrandar / Impresión artística de la autenticación de dos factores. En este ejemplo, no puede iniciar sesión sin una contraseña y un código generado por su teléfono.

dcdp / Getty Images

Este es un ejemplo de una situación en la que las medidas «normales» de reducción de riesgos no funcionan. En este caso, fui atacado porque tenía una cuenta verificada. No tienes que ser una celebridad para ser atacado por un atacante (ciertamente no me considero uno), solo tienes que filtrar información que te convertirá en un objetivo tentador.

Por ejemplo, mencioné anteriormente que 2FA basado en mensajes de texto es más fácil de omitir que 2FA basado en aplicaciones. Una estafa dirigida que vemos a menudo en el mundo de la seguridad es la clonación de tarjetas SIM. Un atacante persuade a un proveedor de servicios celulares para que envíe una nueva tarjeta SIM para un número de teléfono existente y usa la nueva tarjeta SIM para secuestrar el número. Si está utilizando 2FA basado en SMS, una clonación rápida de su número de teléfono celular significa que un atacante ahora está obteniendo todos sus códigos de dos factores.

Además, en el pasado se han aprovechado las vulnerabilidades en el reenvío de mensajes SMS para enviarlos a lugares a los que no deberían ir. A principios de este año, algunos servicios pudieron secuestrar mensajes de texto, y todo lo que se requería era el número de teléfono de destino y $ 16. Y todavía hay errores en el Sistema de señalización 7 (SS7), un importante protocolo de red telefónica que, si se usa incorrectamente, puede conducir a la redirección de mensajes de texto.