No te pierdas los mejores consejos para mantenerte seguro de los cibercriminales cada semana.

¿¿No estás subscrito todavía?? No te pierdas aquí las últimas publicaciones:

1. Como detectar cámaras escondidas.

2. ¿Qué es un Firewall?

3. ¿Qué es la Encriptación?

Subscribe now

Imagina que estás enviando mensajes a tu amigo y de repente te dice:
"¡Me encanta la piña en la pizza!"
Pero espera… Sabes que tu amigo odia la piña en la pizza. Algo huele a pescao 🐟.

El spoofing (suplantación) es algo así: cuando alguien finge ser otra persona (o cosa) para engañarte. Es como ponerse una máscara y decir: "¡Hola, soy yo, tu mejor amigo!", pero en realidad es un extraño tramposo detrás de la pantalla 💀.

Aquí hay algunos ejemplos:

• Suplantación de correo electrónico: Recibes un correo de "tu jefe" diciendo que, como buen empleado, te regalan un mes de vacaciones 🎉. Pero sorpresa: no es tu jefe. Es alguien haciéndose pasar por él. (Y sí, el lunes sigues trabajando. Lo siento).

• Suplantación de número telefónico: Tu teléfono muestra "tu jefe", pero al contestar, es un robot diciendo que ganaste un crucero gratis. 🛳️ (Spoiler: No es cierto).

• Suplantación de sitios web: Escribes "instagrom.com" en lugar de "instagram.com" y llegas a una página rara que parece igual, pero no lo es. Podría ser falsa para robar tu información.

En resumen, el spoofing es como una broma digital, pero no de las divertidas y puede ser mucho más dolorosa "económicamente". Es alguien fingiendo ser otro para engañarte o conseguir lo que quiere.

Tipos de Suplantación (Spoofing)

Hay muchos tipos, pero ninguno sabe bien. Algunos comunes:

📧 Suplantación de correo electrónico

Alguien envía un correo que parece ser de una persona o empresa de confianza.
Ejemplo: Un correo de "tu secretaria" pidiendo tu contraseña. Pero plot twist: no tienes secretaria. Es alguien que quiere entrar a tu Google Drive por alguna razón, y seguro que no para comprobar cuantos mb quedan libres en tu plan gratuito.

📞 Suplantación de número (Caller ID Spoofing)

Suena tu teléfono. Dice "mamá". Contestas y es un robot ofreciendo una garantía para el coche gratis, o quizá una IA imitando a tu madre, pero notas que es demasiado amable para ser ella. Los estafadores falsifican el número para que contestes. ¿una cerdada, no?

🌐 Suplantación de sitios web

¿Alguna vez escribiste mal una web y terminaste en un sitio raro? Las páginas falsas parecen reales, pero son copias baratas hechas para robar contraseñas, datos de tarjetas o tu dignidad.

📱 Suplantación por SMS

Recibes un mensaje de "tu banco" pidiendo que hagas clic en un enlace. Pero tu banco no te escribe como un ex tóxico a las 2 a.m. ¡Es un impostor!

🧑‍💻 Suplantación de IP

Para tramposos más técnicos: disfrazan la dirección IP de su computadora para colarse en redes como un ninja con el nombre de otro.

💬 Suplantación en redes sociales

Alguien crea una cuenta falsa con tu foto y nombre y empieza a escribirle a tus amigos. No, no te hackearon. Te suplantaron. Es como robo de identidad, pero con filtros.

📡 Suplantación de GPS

Altera tu ubicación. Podría decir que estás en París cuando en realidad estás en esa reunión aburrida del lunes. (Lo siento, no hay Torre Eiffel para ti).

¿Por qué debería importarte?

Un correo de un compañero pidiendo información sensible, incluyendo contraseñas o transferencias bancarias.

El típico mensaje urgente de que "tu cuenta bancaria está bloqueada" y debes hacer clic ahora.

Ese "técnico" que insiste en preguntar qué sistema operativo usas, modelo de impresora o firmware.

¿O esa cuenta falsa, casi idéntica a la tuya, que envía mensajes a todos tus amigos? Si añades un alien cambiaformas, tendrías el guión de una película.

No importa si eres estudiante, profesor o un robot repartidor de pizza: si usas un teléfono o computadora, el spoofing puede targetearte. Así que sí… deberías preocuparte.

Cómo defenderte

🔍 1.No confíes a primera vista💁🏼‍♀️
Que un mensaje parezca de tu banco, abuela o jefe no significa que lo sea.

Si suena raro, probablemente lo sea.
Ejemplo: si de repente “Abuela” te envía un correo electrónico pidiéndote Bitcoin... sí, eso es sospechoso.

👀 2. Revisa los detalles
Fíjate bien en la dirección de correo electrónico, el número de teléfono o la URL del sitio web del remitente.

Si tu banco suele escribirte desde “@mybank.com”, pero este dice “@myb4nk.biz”, has descubierto al estafador 🎯.

🔗 3. No hagas clic en enlaces sospechosos
Si un mensaje dice: "¡Haz clic aquí AHORA o te pasarán cosas malas!", respira hondo, no caigas en esta ley de la coerción. Pasa el cursor sobre el enlace (en una computadora) o mantén pulsado (en un móvil) para ver adónde te lleva realmente.

Si te huele mal 🐟, no muerdas el anzuelo.

🔒 4. Usa contraseñas seguras y 2FA (Autenticación de Dos Factores). Incluso si alguien consigue tu contraseña, la 2FA es como una segunda cerradura en tu puerta.

Es como decir: "¡Buen intento, spoofers, pero necesitarán más que eso para entrar!".

🧠 5. Mantente informado. Las tácticas de suplantación de identidad cambian con el tiempo, al igual que las tendencias de moda, pero son mucho menos divertidas.

Así que mantente al día. Si tu escuela o tu YouTuber favorito habla sobre seguridad digital, ¡escucha!

🛠️ 6. Usa herramientas útiles. Muchas aplicaciones de correo electrónico y navegadores tienen filtros que te advierten sobre información sospechosa.

Tu teléfono podría incluso decir "Probable estafa" cuando alguien sospechoso llama. Respeta esa advertencia como si fuera tu hermano mayor diciéndote que no te comas el taco🔔 misterioso.

🙋‍♀️ 7. Pregunta antes de actuar. ¿No estás seguro de si un mensaje es real? Pregúntale a alguien de confianza.

Envía un mensaje directamente a tu profesor, llama a un amigo o pregúntale a cualquier compañero. Es mejor confirmarlo que dejarse engañar por un cibermatón disfrazado.

🤫 8. No compartas ningún detalle sin estar seguro.

Dar información sobre tu pareja, modelos, versiones de software, firmware o incluso el tipo de dispositivo utilizado, sin saber con certeza la identidad real de la persona interesada, puede abrir la puerta a un posible hackeo.

Confirma pidiéndoles información que ya deberían saber, como contratos o pedidos anteriores.

🧠 En resumen:

La suplantación de identidad intenta engañar a la vista. Para defenderse, hay que pensarlo dos veces, verificar la fuente y ser ciberinteligente. 🛡️

No te pierdas los mejores consejos para mantenerte seguro de los cibercriminales cada semana.

¿¿No estás subscrito todavía?? No te pierdas aquí las últimas publicaciones:

1. ¿Qué es un Firewall?

2. ¿Qué es la Encriptación?

3. ¿¿Ataque DDoS??

   Subscribe now

Hoy en día, incluso siendo ilegal, ocultar cámaras para espiar y violar nuestra privacidad se ha convertido en una práctica común. La tecnología ha permitido el diseño y la fabricación de cámaras cada vez más pequeñas, con menor consumo de energía o con mejores funciones de visión nocturna.

Su facilidad de instalación y sus posibilidades de uso las han convertido en un arma a tener en cuenta. Grabar encuentros entre personas para extorsionarlas o distribuirlas en línea es uno de los motivos más habituales. En ocasiones, permiten obtener datos de tarjetas de crédito o incluso información comercial confidencial.

En ocasiones, los ciberdelincuentes pueden trabajar directamente fuera de la red, pero no se lo vamos a poner fácil. Aquí tienes la guía definitiva para detectar estos dispositivos.

1. Inspección manual:

Hay muchas maneras de ocultar cámaras, especialmente en objetos pequeños. Con buen ojo para los detalles, no deberían ser nuestros ojos.

• Usa una linterna. Por ejemplo, la de tu móvil. Busca cualquier pequeño reflejo azul o morado (típico del objetivo de una cámara). Si encuentras alguno, sospecha que se trata de una cámara oculta.
  

• Apaga las luces e intenta encontrar luces LED. Puedes usar cualquier cámara digital, especialmente si no tiene filtro IR (las cámaras de iPhone lo tienen). Los LED IR se utilizan comúnmente para la iluminación de visión nocturna. Si alguna cámara está grabando, es posible que emita luz IR.
  

• Revisa objetos inusuales. Cualquier objeto que se pueda mover fácilmente o que no encaje en el entorno. Estas cámaras podrían estar ocultas en objetos específicos y aleatorios, como peluches, figuras o dispositivos como despertadores, portarretratos o detectores de humo.
  

• Revisa si hay cables. Algunas de estas cámaras se pueden tener un cable para obtener energía eléctrica. Comprueba que cada cable corresponda a un dispositivo reconocido.
  

• Busca agujeros. Un pequeño agujero es suficiente para colocar una cámara y grabar. Analiza la superficie de las paredes, la decoración o los muebles donde puedan estar ocultas.
  

• Presta atención a los espejos y las superficies negras. Puedes usar los dedos para encontrar huecos; puede ser un espejo real o una pieza translúcida que se pueda retirar fácilmente.

2. Usa tu audición

Estos dispositivos pueden emitir un ligero zumbido o cualquier otro sonido proveniente de un micrófono.

Algunos micrófonos profesionales y amateurs pueden ser muy útiles para esta tarea, ya que ofrecen una mayor sensibilidad que la de los humanos e incluso un área de enfoque muy pequeña.

3. Smartphone con aplicaciones.

La aplicación de la cámara podría detectar cualquier elemento sospechoso, luz o interferencia. Una buena opción es usar el modo nocturno con todas las luces apagadas, colocando el teléfono en una posición estable e intentando capturar una imagen de 30 segundos. Cualquier luz, pequeña, debería ser completamente visible.

Puedes usar detectores de Bluetooth para encontrar cualquier cámara que use Bluetooth. Otra opción es usar el sensor magnético para detectar cualquier campo eléctrico extraño.

4. Detectores de campos electromagnéticos o radiofrecuencia.

Los detectores de radiofrecuencia pueden utilizarse para encontrar cámaras ocultas. En ocasiones, estas cámaras emiten radiofrecuencias que pueden ser detectadas por estos dispositivos. Es importante tener en cuenta que otros dispositivos, como routers wifi, televisores o electrodomésticos, pueden interferir y generar radiofrecuencia.

5. Escáneres infrarrojos:

Al captar la luz infrarroja invisible que emiten ciertas cámaras de visión nocturna, pueden utilizarse para detectarlas, especialmente si tu móvil no dispone de un filtro infrarrojo, los iPhones si disponen de él para mejorar su fotografía. Es recomendable utilizarlos en completa oscuridad, buscando cualquier punto brillante tenue.

6. Escaneo de redes Wi-Fi.

Otra opción para detectar estas cámaras es escanear e identificar cualquier dispositivo Wi-Fi. Normalmente, utilizan la señal Wi-Fi para transmitir la información. Busca dispositivos sospechosos o desconocidos. Puedes usar aplicaciones de escaneo de redes.

También es posible localizar dispositivos Wi-Fi por la intensidad de la señal.

WireSharp puede analizar el tráfico. Busca cualquier RTSP, ya que la mayoría de las cámaras modernas utilizan este protocolo de transmisión para comunicarse con un host.

7. Detector de Lentes.

Estos dispositivos son económicos, portátiles y fáciles de usar. Emiten una luz infrarroja que cualquier lente refleja como un punto rojo, lo que activa el dispositivo. Lamentablemente, es necesario usarlos cerca del punto sospechoso para detectar si se trata de una cámara oculta.

Existen otros dispositivos más específicos y caros para detectar cámaras, como el famoso SPY989, pero están enfocados al sector profesional debido a su precio.

¿Qué hago si encuentro uno?

Dependiendo de dónde se encuentren, si se encuentran en un espacio privado de alquiler, como un hotel, hostal, Airbnb o similar, el procedimiento será el siguiente:

1. Cubre la cámara, evitando quitarla o dañarla.

2. Documenta el incidente con fotos, videos o cualquier otro documento.

3. Reporta el incidente a los administradores del hotel, habitación, etc.

4. Llama a la policía o a las autoridades locales y presenta una denuncia si crees que se ha cometido un delito.

No te pierdas los mejores consejos para mantenerte seguro de los cibercriminales cada semana.

¿¿No estás subscrito todavía?? No te pierdas aquí las últimas publicaciones:

1. ¿Qué es la Encriptación?

2. ¿¿Ataque DDoS??

3. ¿Qué Es un Ataque DoS?

   Subscribe now

Es un sistema de seguridad diseñado para monitorizar, analizar y bloquear conexiones entre dispositivos y redes.

A lo largo de la red, la información viaja en paquetes. Podemos imaginar que las conexiones son puertas, dentro están nuestros dispositivos y los paquetes son las personas. Entonces, un firewall se convertiría en el portero de una discoteca, controlando quién puede entrar o no.

No necesitan ser aplicaciones esenciales como las que los usuarios de Windows deberían conocer. Se denominan firewalls de software. Son aplicaciones instaladas en el ordenador o dispositivo para controlar el tráfico. Sin embargo, pueden ser dispositivos físicos que se interponen entre una red y las conexiones externas. Buenos ejemplos en el mercado son Bitdefender Box, Cisco ASA 5500-X o Sophos XG. Pueden ser firewalls de red, diseñados para la inspección de tráfico bidireccional, como FortiGate o Check Point Quantum, o incluso como parte de un servicio en la nube, como AWS WAF, Cloudflare WAF o Imperva WAF. Pero antes de analizar cada tipo, debemos entender qué son estos paquetes.

¿Qué Es un Paquete de Red?

Cuando usamos internet o cualquier tipo de red, no enviamos todos los datos de una sola vez. Toda esta información se divide en secciones más pequeñas y luego se unen.

Como esas colecciones de fascículos que se hicieron tan populares, donde cada semana recibías un nuevo fascículo que cabía en tu buzón, pero la colección completa incluía más de 600. Aunque al final, todos compramos solo los tres primeros números.

La red funciona de forma similar, pero completando la colección, por suerte no tenemos que pagar dinero por cada uno. ¿Recuerdas cuando descargaste una imagen en el año 2000? Estas imágenes se cargaban pieza por pieza precisamente por esta razón. Una sola imagen se divide en numerosos paquetes, con un límite de tamaño de 1500 bytes, y se envían uno por uno. Incluso si fuera posible enviar el archivo completo, no es práctico, porque hasta que lo reciba, el sistema receptor tendrá que esperar hasta que se complete el envío.

Para identificar cada paquete, enviarlo y reconstruir el archivo original, estos paquetes cuentan con un encabezado que muestra información relevante como la IP de origen y destino, el protocolo utilizado o la posición de los fragmentos de datos. Esta información será crucial para que los firewalls puedan operar y analizar estos paquetes.

Los atacantes pueden generar tráfico malicioso con estos paquetes de datos, enviando malware, creando ataques DDoS u otros tipos de ciberataques.

Ahora que sabemos un poco más sobre cómo funciona Internet, qué son estos paquetes y cómo se forman, podemos explicar los diferentes tipos de firewalls.

¿Qué tipos existen?

Filtrado de paquetes:

Examinan los paquetes de datos entrantes, incluyendo toda la información del encabezado, como direcciones IP, puertos y protocolos utilizados.

Filtran los paquetes que pueden entrar según su IP de origen y destino, el número de puerto y el protocolo utilizado. Un ejemplo sería el portero que verifica de dónde vienes, si estás en la lista o si eres mayor de 18 años para dejarte entrar.

Esto proporciona una seguridad rápida y ligera, lo que hace que las conexiones sean más rápidas, pero vulnerables a ataques más sofisticados.

Inspección de Estado:

También conocido como filtrado dinámico de paquetes, filtra los paquetes según el estado de la conexión en lugar de cada paquete individualmente. Permitirá el paso de los paquetes mientras la conexión permanezca y se puedan identificar.

En este caso, el portero de una discoteca comprueba el número de personas en el grupo, que cada una tenga una identificación real y que nadie esté en malas condiciones (ebrio, drogado, etc.) para dejarlos entrar.

Gracias a sus sesiones en pista, mantiene un buen rendimiento, pero es más robusto contra ataques como la suplantación de identidad o los intentos de acceso no autorizado.

Proxy:

Este tipo de trabajo actúa como intermediario entre los usuarios e internet. Básicamente, decide qué conexión puede iniciarse o no examinando cada solicitud.

La analogía es la persona que indica cuándo el club está lleno, si tu grupo no puede entrar porque cometiste un error la última vez o si no puedes salir porque acabas de cometer un error.

Pueden analizar en profundidad las solicitudes web y bloquear sitios web maliciosos o prevenir fugas de datos. Si bien ofrecen un entorno altamente seguro, pueden ralentizar el rendimiento de la red debido al procesamiento adicional requerido.

Cortafuegos de Nueva Generación (NGFW):

Este cortafuegos se encuentra entre el portero de la discoteca y el personal de seguridad del aeropuerto. Le solicitará su identificación, pasaporte, billete de avión, su lugar de origen, su trabajo, su destino, qué hará, cuánto tiempo estará allí y dónde se alojará. Además, examinará todo su equipaje con rayos X.

Ofrecen las funciones de seguridad más avanzadas, incluyendo el análisis completo del contenido de los datos y el control basado en aplicaciones o servicios específicos. Pueden protegerle contra amenazas en constante evolución como malware, ransomware y ciberataques cifrados.

Configurando el Firewall

Windows

Read more

No te pierdas los mejores consejos para mantenerte seguro de los cibercriminales cada semana.

¿¿No estás subscrito todavía?? No te pierdas aquí las últimas publicaciones:

1. ¿¿Ataque DDoS??

2. ¿Qué Es un Ataque DoS?

3. IA la otra cara: Principales amenazas

   Subscribe now

Es como cuando pones documentos confidenciales dentro de una caja fuerte, solo tu sabes el código para abrirla, impidiendo que cualquiera tenga acceso a esos documentos. La encriptación funciona de forma similar con datos digitales.

Cuando los datos quedan encriptados, cualquier información dentro queda inaccesible para leerse. Si tú intentas leerlo, vas a encontrar algo similar a esto:

请与大家分享，以便他们可以订阅我的猫和网络安全博客，这些毛茸茸的朋友需要你！在这里，我们将讨论最佳的网络安全策略，以及如何提高个人和企业的隐私。我们可以共同提高互联网安全性，使网络犯罪分子更加难以犯罪。

¡Oh! Espera, eso es chino. Lo que vas a encontrar es más concretamente esto:

Ú™HûŒV'*#ñB##_£Å·ß™øÉ<BÚ”c°#¥¯º#¿M$âo_†ÕøL< ¥}ì-{##müX#î‹~¬Š#A#eôül èd#õ»@M#4?ÊÃ&Ó#~ÂA á»°íÙÇŠß‚"¼b}@¸#à]#“ãs»#—\#ˆ#ŸâBJqïé¨×J$QÑ”™èÔ#uçµâŠ1y¦yxBÔÿ¸p#ÌæÈ#kØÀ>£: ‘óƒÑ˜ò’Ö#­ªøk#>/Ð`Œhj†ÏÏŒÿ#«ä™Æ#@ñü;ϨøDf1¾«ÉdÆùl¤#ÆwÛ]q‰iR¾÷Õ#ì³#çàšú*ÅÁj#+,Åú1FS #Ì#}@{/νèXâOú¿Ðž£Ëö# ¬^`Տ#¼¤ý#®¥T#\-:Ê£Æ`#MŠa·5ÔùUØë,Ó~ï5xal#]…'_ÃM¨!† çç»—á¹sÄ1T F2Kq¤Û¶ø°þù¯Ì#£‡‹ÅœSúç-¹°=Úe‹Mý9¬_ÆŽ#§äbeõTÛŠ‘P¾²R—3b[1#‚Õõpùù×!#öžf^Šî0’{±”#~Í#¨¦n.#e>zðl|í#Œ

Ahora estoy seguro de que el chino se ve más fácil que el texto cifrado.

¿Cómo la Encriptación Funciona?

Cuando nosotros encriptamos cualquier dato o archivo, se usan algoritmos matemáticos especiales que mediante el uso de una llave específica (código), cambiará todos los bytes de ese archivo con el objetivo de hacerlo illeible. La única forma de restaurar el formato original, es desencriptar el archivo usando otra llave dependiendo de cual tipo sea usado.

Simétrico:

Aquí se usa una única llave para encriptar o cerrar y para desencriptar los datos. Esto funciona como una llave normal en la vida real.

Cuando el archivo esta encriptado, nosotros creamos una llave específica que será luego necesaria para desencriptar el archivo.

La popular aplicación WinRAR y otros similares como 7-Zip o Winzip usan la encriptación simétrica. Usan además un password o contraseña generada por el usuario para crear una llave única que será usada tanto para la encriptación como para la desencriptación del archivo.

El mejor uso es para limitar el acceso a tus archivos para ti mismo y cualquiera con quien quieras compartir esa llave o contraseña.

Asimétrico

Este sistema es más complicado, donde es usada una llave pública para encriptar y otra privada para desencriptar. Imagina una especie de llave maestra que puede cerrar cualquier puerta, pero luego tú puedes usar tu llave personal para abrir la puerta de tu casa.

Puede que no estés familiarizado con esto y ahora te estes preguntando qué demonios es y por qué es usado.

Para encriptar asimetricamente, 2 llaves se crean, llamadas par llave o key pair (llave pública y llave privada).

Llave Pública es un código usado para encriptar cualquier archivo o dato y es llamado público porque está destinado a compartirse.

Llave Privada es un código usado para abrir o desencriptar un archivo o dato específico y es privado porque solo tú dispondrás de ella.

Es como un cerrajero que nosotros contratamos para poner cerraduras, el puede actuar como nuestra llave pública. Cualquiera puede acceder a él, siempre y cuando paguen por sus servicios. Pero las copias de llaves de cada cerradura que él entregue, van a ser la llave privada y solo nosotros decidiremos si compartirlas y con quien.

Este tipo de encriptación ofrece muchas ventajas porque la llave pública puede ser compartida masivamente sin exponer la llave privada y el acceso a los datos.

Las ventajas son múltiples. Una llave pública será distribuida, pero la privada no tiene que ser compartida, mejorando la seguridad funcionan mejor en sistemas a gran escalaa demás no requiere de ninguna relación previa entre los participantes.

¿Cuáles Son los Principalels Algoritmos?

Para simetrico, los más famosos son:

AES (Estándar de Cifrado Avanzado):

• Es como una caja fuerte digital. Cifra los datos en bloques (p. ej., 128 bits) y utiliza una clave para bloquearlos o desbloquearlos.

• Es rápido y seguro, lo que lo hace popular para proteger datos en el ordenador y en las aplicaciones.

• Es el utilizado por las herramientas más conocidas como Winrar, 7-zip o Winzip.

DES (Estándar de Cifrado de Datos):

• DES se utilizó ampliamente en el pasado. Es más sencillo que AES, pero ya no se considera seguro para el uso moderno debido a la menor longitud de su clave.

IDEA (Algoritmo Internacional de Cifrado de Datos):

• Es un algoritmo de cifrado simétrico diseñado para alta seguridad.

• Divide los datos en bloques más pequeños y los cifra mediante una serie de operaciones matemáticas con una clave secreta compartida.

• Es conocido por su robustez y se utilizó en las primeras versiones de PGP (Pretty Good Privacy) para comunicaciones seguras.

Blowfish:

• Otro algoritmo de cifrado simétrico, diseñado para ofrecer velocidad y flexibilidad.

• Funciona dividiendo los datos en bloques y cifrándolos con una clave de longitud variable (hasta 448 bits). Se utiliza comúnmente para proteger contraseñas y en aplicaciones como el cifrado de archivos.

Y el usado para asimétrico:

RSA (Rivest–Shamir–Adleman):

• Piense en RSA como un buzón: la clave pública es como la ranura donde cualquiera puede introducir letras (cifrar datos), pero solo el propietario del buzón (clave privada) puede leerlas.

• RSA se usa comúnmente para conexiones web seguras (p. ej., HTTPS).
  

Criptografía de Curva Elíptica (ECC):

• ECC utiliza matemáticas que involucran curvas para proteger los datos, lo que la hace eficiente con tamaños de clave más pequeños.

• Es ideal para dispositivos como smartphones, donde los recursos son limitados.
  

Diffie-Hellman (DH):

• Diffie-Hellman es un método de cifrado asimétrico, pero está diseñado específicamente para el intercambio seguro de claves.

• Imagine a dos personas mezclando diferentes colores (que representan datos) y, mediante matemáticas, pueden crear un color secreto común sin revelar los colores originales.

• Se usa ampliamente para establecer canales de comunicación seguros (p. ej., en VPN).

Lo más importante es una clave más larga, lo que significa una mayor seguridad, siendo recomendable un mínimo de 128 bits.

¿Cuál Son los Usos Comunes?

Encriptación simétrica es más rápido, por lo que es usada principalmente para enormes cantidades de datos, datos personales y para compartir información no sensible con pequeños grupos.

Asimétrico es más lento, pero es genial para comunicaciones:

• Comunicaciones seguras incluyedo WhatApp o Telegram, usan encriptación asimétrica, donde solo el destinatario puede acceder a una información que puede ser enviada por cualquiera.

• Otro popular uso es para autentificación para verificar la identidad de usuarios y sistemas.

• Otro uso es para Firmas Digitales, integridad de datos o Blockchain, ya hablaremos de ello proximamente.

¿¿No estás subscrito todavía??🙀 No te pierdas aquí las últimas publicaciones:

1. ¿Qué Es un Ataque DoS?

2. IA la otra cara: Principales amenazas

3. Rutina de Seguridad: Prácticas Diarias para Protegerse en el Uso Digital.

   Subscribe now

   ---

Ya hemos explicado que es un ataque DoS, pero que pasa si todos esas peticiones de servidor no vienen de un único usuario, si no de muchos, quizá miles, quizá millones de usuarios distintos al mismo timepo, donde un simple intento de bloqueo para un único recurso es insuficiente. Esto es un DDoS o distributed denial-of-service attack.

Ahora imagina que tu cafetería favorita, para evitar la perdida de confianza en sus clientes, aand decidido poner un límite por orden de 10 cafés por cliente, algo así como cuando ibas a comprar durante el COVID. Tú piensas que esta vez estás a salvo de cualquier orden salvaje, pero esta vez, cuando te acercas a realizar tu sagrada y todo poderosa ración de cafeína mañanera, una gigantesca mTe preguntarás como es posible que tengas tan mala suerte. Esta vez, no habrá ninguna opción de café para ti durante todo el día. Esto sin mencionar lo que podría pasar si ocurriera en numerosas ocasiones.

¿Cómo Funciona Exactamente?

Mientras que un simple ataque DoS puede ser realizado por un solo bot mediante la generación de un infinito número de peticioes, a DDoS requiere una mayor complejidad de organización. En general, los ataques vienen de una red de dispositivos conectados a internet. Esta red consiste en ordenadores y otros dispositivos, incluidos cualquier aparato conectado a internet (IoT), el cual puede ser infectado mediante un malware y controlado remotamente (bots).

Si, tu nueva lavadora con wifi puede convertirse en una terrible arma de ciberataque por un descuido del firmware de la empresa fabricante.

El hacker solo necesita enviar la orden con la dirección IP a todas esas máquinas, y estas empezarán a crear un número infinito de peticiones hasta que ellas logren tumbar el servidor.

A veces, estos ataques pueden venir de un grupo organizado de personas, quienes usarán todos sus dispositivos a su alcance, para llevar a cabo la acción.

¿Es Posible Detectar un DDoS?

Es muy difícil separar bots y atacantes de usuarios y dispositivos legítimos, especialmente si nosotros podemos experimentar incrementos esporádicos en la demanda debido a ofertas, eventos mediaticos o cualquier otra cosa.

Aún así, hay todavía un importante número de patrones para identificar un ataque:

• Sospechosa cantidad de tráficod esde una sola dirección IP o de un rango de IP.

• Un exceso de tráfico de usuarios con un mismo perfil de comportamiento (mismo aparato, geolocalización, versión del navegador, etc...)

• Un inexplicable incremento de peticiones para una única página o destino.

• Extraños patrones de tráfico como picos en horas inusuales del día o patrones antinaturales (como cada 15 minutos).
  

¿Cómo Puedo Pararlo?

Read more

Este tipo de ciberataque (Denial-of-service o DoS attack), es cuando alguien o algo consume todo el ancho de banda o/y indunda un servidor creando millones de peticiones en un corto periodo de tiempo.

Ahora imagina que vas a tu cafetería de confianza, donde esperas un genial servicio para tener tu bebida caliente favorita en no más de 3 minutos, pero justo antes de realizar el pedido, ellos reciben una llamada de Steve Jobs o quizá alguien de Tesla para ordenar más de 2000 bebidas calientes. En este momento, todo el equipo empieza a trabajar para intentar acometer el pedido, que fácilmente les llevará 1 ó 2 horas, tiempo en el que serán incapaces de atender otros clientes, incluido tu esperado café mañanero. Hagámoslo más dramático; imagina que no hay ninguna otra cafetería alrededor, ese será tu único café en todo el día y además es LUNES!!!

Suena terrible, verdad? Así es como un DoS opera.

Que Significa Esto?

Como usuario, no podrás acceder a ningún servicio o estos funcionaran terriblemente lentos y de forma incorrecta.

Pero para una compañía todo se vuelve mucho peor:

• No serás capaz de ofrecer tus servicios, entonces tus ingresos podrían detenerse según tu modelo de negocio.

• Tus clientes se sentiran traicionados por tu servicio y tu reputación será dañada.

• Los clientes pueden optar por confiar en un competidor.

• Tu servicio podría no ser capaces de realizar acciones críticas.

Un simple usuario o incluso un bot puede convertirse en tu peor pesadilla del día si tú no estas preparado.

Este evento también puede ser causado por una malfunción de un servicio API implementado por uno de tus clientes, donde un número infinito de request o con un gran volumen de datos son enviados al servidor.

¿Como Puede Afectar Esto a mi Negocio?

• Todos tus servicios funcionarán más lento o incluso se detendrán.

• Tu equipo de trabajo puede ser incapaz de realizar su labor por un periodo de tiempo o incluso de terminar sus labores diarias.

• Tu servicio de servidores puede usar todos los recursos contratados, requiriendo una mayor inversión.

• Los contractos pueden nos er pagados y otros procedimientos inacabados.

• Los trabajadores pueden requerir de tiempo extra para arreglar los problemas, resultando en un incremento adicional de los costes.

• Una perdida de confianza de los clientes, la cual puede afectar a tu crecimiento económico a medio plazo.

¿Cómo evitarlo?

Afortunadamente, evitar un ataque DoS puede ser bastante fácil siguiendo las siguientes estrategias:

• Implementar un Firewall Robusto: Puede filtrar y monitorizar el tráfico entrante.

• Límite de Peticiones: Restringiendo el número de peticiones que un usuario puede realizar a un servidor en un determinado margen de tiempo.

• Entrenando a tus Empleados: Educando a tus empleados sobre seguridad y mejores prácticas siempre es una apuesta segura y el mejor camino a seguir.

IA no solo puede ayudar a la ciberseguridad, también puede crear nuevos peligros. Al igual que los defensores usan la IA para proteger los sistemas, los hackers pueden usarla para lanzar ataques más avanzados. Aquí algunas de las amenazas potenciales de la IA que podemos enfrentar:

1. Ataques Deepfake 🎭

La tecnología Deepfake utiliza IA para crear videos, imágenes y audios falsos y realistas. Los hackers pueden usar esto para suplantar la identidad de alguien y engañar a otros para que compartan información confidencial.

🔹 Ejemplo: Un hacker podría usar IA para falsificar la voz o incluso un video de un director ejecutivo y pedirle a un empleado que transfiera dinero a una cuenta fraudulenta. Esto ocurrió en 2019, cuando delincuentes usaron IA para suplantar la identidad del director ejecutivo de una empresa ¡Y robaron $243,000!

2. Phishing Impulsado por IA 🎣

Los correos electrónicos de phishing tradicionales son fáciles de detectar debido a errores gramaticales o redacción extraña. La IA ahora puede generar correos electrónicos de phishing perfectos y personalizados, mucho más difíciles de detectar.

🔹 Ejemplo: Los hackers pueden usar IA para analizar publicaciones en redes sociales y crear correos electrónicos que suenen exactamente como los de un amigo o compañero de trabajo. Esto aumenta las probabilidades de que las personas hagan clic en enlaces maliciosos.

3. Malware Inteligente 🦠

El malware impulsado por IA puede modificar su código para evitar ser detectado por los programas antivirus. A diferencia del malware tradicional, que tiene una firma fija, el malware con IA puede "mutar" para permanecer oculto.

🔹 Ejemplo: Un virus que utiliza IA podría aprender cómo el software de seguridad detecta las amenazas y luego reescribirse para evadir la protección.

4. Bots de Hacking Automatizados 🤖

Los bots impulsados ​​por IA pueden escanear internet en busca de contraseñas débiles, bases de datos no seguras o vulnerabilidades de software. Posteriormente, pueden acceder a los sistemas automáticamente sin intervención humana.

🔹 Ejemplo: Un hacker podría configurar un bot de IA para que adivine millones de contraseñas por segundo, accediendo a cuentas en línea mucho más rápido que un hacker humano.

5. Ataques de Denegación de Servicio (DDoS) Impulsados ​​por IA 🌐

Los hackers pueden usar la IA para lanzar ataques DDoS más potentes, que sobrecargan los sitios web con tráfico falso y los dejan fuera de línea. La IA hace que estos ataques sean más inteligentes al identificar los puntos débiles de un sistema.

🔹 Ejemplo: La IA podría analizar los patrones de tráfico de un sitio web y lanzar un ataque justo cuando el sistema es más vulnerable.

6. Ingeniería Social Basada en IA 🕵️‍♂️

La ingeniería social se produce cuando los hackers engañan a las personas para que revelen información. La IA puede analizar el comportamiento de una persona y personalizar los mensajes para manipularla de forma más eficaz.

🔹 Ejemplo: La IA puede escanear la actividad de una persona en redes sociales, descubrir sus intereses y generar una conversación falsa para ganarse su confianza. Un hacker podría hacerse pasar por un reclutador que ofrece un trabajo y engañar a alguien para que descargue malware.

7. Ataques de Día Cero Impulsados ​​por IA 🚨

Un ataque de día cero ocurre cuando los hackers explotan una vulnerabilidad en el software antes de que los desarrolladores puedan solucionarla. La IA puede escanear millones de líneas de código para encontrar puntos débiles más rápido que los humanos.

🔹 Ejemplo: La IA podría descubrir un fallo en un sistema operativo y permitir a los hackers tomar el control de ordenadores de todo el mundo antes de que los equipos de seguridad se percaten del problema.

¿Cómo Podemos Defendernos de los Ataques Impulsados ​​por IA?

✅ IA vs. Defensa con IA: Los expertos en ciberseguridad también utilizan la IA para combatir los ataques impulsados ​​por IA, detectando patrones y deteniendo las amenazas automáticamente.

✅ Autenticación más robusta: El uso de la autenticación multifactor (MFA), la biometría y las claves de seguridad de hardware puede ayudar a prevenir los intentos de hackeo impulsados ​​por IA.

✅ Concienciación: Cuanto más comprendan las personas las amenazas de la IA, más difícil será para los hackers engañarlas. Ser cuidadoso con los correos electrónicos, los mensajes y las solicitudes en línea es crucial.

✅ Mayor complicidad: Acordar contraseñas de forma verbal que deban ser usadas a la hora de realizar demandas sensibles como movimientos de dinero o habilitación de permisos.

La IA es un arma de doble filo: puede protegernos, pero también ofrece a los hackers nuevas formas de atacar. A medida que la IA siga evolucionando, la ciberseguridad se convertirá en una batalla entre los hackers y los defensores de la IA. Por eso es importante mantenerse informado y aplicar las mejores prácticas de seguridad.

La ciberseguridad no es solo para expertos; es algo que todos deberíamos practicar a diario, como cepillarnos los dientes o cerrar las puertas con llave. Al desarrollar hábitos seguros, puedes proteger tus datos personales, evitar ciberamenazas y mantenerte seguro en línea.

Contraseñas Fuertes y Únicas:

🔴 Problema: Mucha gente usa la misma contraseña para todo. Si un hacker logra tener una, puede tener acceso a todas tus cuentas. El mismo riesgo cuando se usan contraseñas cortas y fáciles.

✅ Solución: Usar contraseñas largas y únicas para cada cuenta. Un manager de contraseñas puede ayudarte a guardarlas de forma segura.

🟨 Ejemplo: En vez de usar password123, intentar G@to5AmanTuna#2025! O alguna frase tipo DesPacitoPacito@Pacito77 Puedes apreder más aquí:

Habilitar el Sistema de Autentificación de 2 Factores (2FA):

🔴 Problema: Incluso usando contraseñás fuertes, pueden ser vulneradas en brechas de información.

✅ Solución: Activar 2FA, lo cuál añade una capa extra de seguridad (como cuando se envía un código de verificación a tu correo).

🟨 Ejemplo: Cuando te logeas en Instagram, después de introducir tu contraseña, tienes que introducir un código que haya sido enviado a tu móvil. Esto previene a los hackers logearse, incluso si tienen tu contraseña.

3️⃣ Cuidado con las Estafas Pishing:

🔴 Problema: Los ciberdelincuentes engañan a las personas para que hagan clic en enlaces falsos y roben su información.

✅ Solución: Nunca hagas clic en enlaces sospechosos en correos electrónicos o mensajes. Verifica si el remitente es real.

🟨 Ejemplo: Recibes un correo electrónico que dice: "¡Tu cuenta bancaria está bloqueada! Haz clic aquí para solucionarlo". En lugar de hacer clic, ve directamente al sitio web de tu banco y revisa tu cuenta.

Puedes aprender más aquí.

4️⃣ Mantén el Software y los Dispositivos Actualizados

🔴 Problema: El software antiguo puede tener vulnerabilidades de seguridad que los hackers pueden explotar.

✅ Solución: Actualiza siempre tu teléfono, aplicaciones y sistema operativo para mantenerte protegido.

🟨 Ejemplo: Cuando tu teléfono o portátil te pida una actualización, ¡no la ignores! Estas actualizaciones suelen corregir vulnerabilidades de seguridad que los hackers pueden usar para acceder a tu sistema.

5️⃣ Usa una Red Wi-Fi Segura

🔴 Problema: Las redes Wi-Fi públicas (como las de cafeterías o aeropuertos) pueden ser hackeadas, lo que permite que otros vean lo que haces.

✅ Solución: Evita ingresar información confidencial (como contraseñas o datos bancarios) en redes wifi públicas. Use una VPN (red privada virtual) para mayor protección.

🟨 Ejemplo: Si está en una cafetería y necesitas revisar su cuenta bancaria, espere hasta llegar a casa o usa los datos móbiles en vez del Wi-Fi público.

La IA está haciendo la ciberseguridad más inteligente, rápida y eficiente. Mientras esto nos ayuda a protegernos, también puede significar que debemos estar más más pendientes de nuevas amenazas. El futuro de la ciberseguridad será una constante batalla entre IA de defensores y IA de atacantes, luego aprender sobre seguridad IA ahora ¡Puede ser más importante que nunca! 🤖

Como la IA está Cambiando la Ciberseguridad

✅ 1. Detección de amenazas más rápida

La IA puede analizar millones de archivos, correos electrónicos y registros de tráfico de red en segundos. En lugar de esperar a que un hacker ataque, la IA puede detectar actividad inusual y detener un ataque antes de que ocurra.

● Ejemplo: Un software antivirus con IA como Windows Defender o CrowdStrike puede detectar malware basándose en el comportamiento en lugar de buscar solo virus conocidos.

✅ 2. Detención de ataques de phishing

El phishing se produce cuando los hackers envían correos electrónicos falsos para engañar a los usuarios y que revelen sus contraseñas. La IA puede analizar los correos electrónicos y detectar mensajes sospechosos antes de que lleguen a la bandeja de entrada.

● Ejemplo: Los filtros de spam de Google con IA bloquean más del 99,9 % de los correos electrónicos de phishing en Gmail.

✅ 3. Automatización de las respuestas de ciberseguridad

La IA puede actuar sin necesidad de intervención humana. Si un sistema detecta un ataque, la IA puede bloquear automáticamente al hacker, apagar el sistema infectado y notificar a los equipos de seguridad. En caso de ataque de un Ransonware, podría neutralizar y deshacer la encriptación de forma automática.

● Ejemplo: La IA en los bancos puede congelar instantáneamente la tarjeta de crédito de un cliente si detecta transacciones sospechosas de otro país o si encuentra un patrón extraño.

✅ 4. Identificación de contraseñas débiles

Las contraseñas débiles facilitan el hackeo. La IA puede escanear bases de datos y sugerir contraseñas más seguras, a la vez que detecta las reutilizadas o comprometidas.

✅ Ejemplo: Sitios web como Have I Been Pwned utilizan IA para comprobar si tu correo electrónico o contraseña se han filtrado en filtraciones de datos.

✅ 5. Predicción de ataques futuros

La IA puede estudiar ataques previos y predecir cómo podrían intentar atacar los hackers. Esto ayuda a los equipos de ciberseguridad a prepararse con antelación.

✅ Ejemplo: Empresas de ciberseguridad como Darktrace utilizan IA para analizar las tendencias globales de ataques y advertir a las empresas antes de que las amenazas las alcancen.

El futuro: Cómo la IA podría cambiar aún más la ciberseguridad

✅ Mejor defensa contra hackers impulsados ​​por IA: Al igual que los defensores utilizan IA, los hackers también la utilizan para crear ciberataques más inteligentes. La IA será crucial para mantenerse a la vanguardia.

✅ Navegación y Programación Más Segura: Podrá detectar más fácilmente sitios web falsos, enlaces y recursos sospechosos.

✅ Seguridad biométrica: La IA podría reemplazar las contraseñas con reconocimiento facial, autenticación de voz o escaneo de huellas dactilares para mejorar la seguridad.

✅ Ciberasistentes de IA: Los futuros sistemas de IA podrían funcionar como asistentes personales de ciberseguridad, advirtiendo a las personas sobre amenazas y solucionando automáticamente los problemas de seguridad.

✅ Hará Todo Más Fluido: Aprenderá de nosotros, nuestra rutina, preferencias y forma de actuar, lo que hará mucho más difícil que suplanten nuestra identidad o accedan a nuestras cuentas de correo, redes sociales o bancarias.

Como dije en este post levemente, el Ransomware es un tipo de malware, el cual encripta todos tus archivos, bloqueando su acceso hasta que alguien realiza el pago, como un secuestro de datos. Esto normalmente se realiza mediante criptomonedas para realizarlo de la forma más anónima posible, y que bajo ningún caso, garantiza que tus archivos sean restaurados☠️☠️☠️.

¿Qué es Exactamente?

Es un script autoejecutable, donde el código tiene la función de buscar y comprimir cada archivo fuera del sistema operativo (vale, el ordenador necesita funcionar al menos para realizar el pago), mediante la aplicación de una encriptación. Después de terminar la labor, muestra un mensaje sobre como pagar y obtener un código o password, que en teoría, debería desencriptar todos tus archivos afectados. Si esto no es suficiente, amenazará con borrar todos tus archivos antes de un corto periodo de tiempo (¿Lo recuerdas? Eso es para hacerte actuar rápido sin pensar y hacerte cometer más errores). A veces, este Malware no esta bien programado o nunca fue la intención, luego incluso después de pagar la cantidad, no es capaz de encontrar y desencriptar todos los archivos, razón por la que es mejor evitar que el sistema quede afectado y en ningún caso pagar.

Ejemplo de un Ransomware básico (solo con fines educativos).

Algunos ejemplos famosos son: BitPaymer, Cryptolocker, DarkSide, Darma, DoppelPaymer, GandCrab, Maze, MedusaLocker, NetWalker, NotPetya, Petya, Revil, Ryuk, SamSam, Hive o el probablemente más famoso de todos, WannaCry, apropiado nombre para un malware, el cual afectó a muchísimos negocios, incluidas entidades públicas como hospitales. Imagina como el servicio de tu compañía es interrumpido después de que todos tus archivos sean encriptados sin opción a usarlos, suficiente razón para querer llorar, por lo menos para los jefes, gerentes, inversores y en especial el CEO de la compañía.

¿Cómo Puedo Infectarme?

Correo Pishing: Probablemente la forma más frecuente de infectar es engañando a los usuarios para que hagan clic donde no deben, mediante ingeniería social.

Descargas Maliciosas: Lo más probable es mediante la descarga y uso de software ilícito.

Explotar fallos de seguridad: Otra forma es utilizar vulnerabilidades de software obsoleto.

Repositorios falsos: Una de las formas más populares en los últimos días, es ocultar código malicioso mediante el uso de repositorios de Github. Esto merece un artículo completo.

¿Cómo Evitarlo?

La mejor defensa es siempre la prevención:

✅ Usar software legítimo o de fuentes y autores confiables.

✅ Mantener el software actualizado, con los últimos parches de seguridad.

✅ Ser cauto con emails y links, si es necesario, formar a tus empleados.

✅ Limitar el acceso de información a cada usuario por rol y por departamento.

✅ Mantener copias de seguridad de tu información, tanto en la nube como servicios offline.

✅ Usar herramientas de seguridad: Antivirus, anti-malware, firewalls pueden prevenir estas amenazas.

Si estás usando sistemas con un alto riesgo de exposición a ciberataques, es buena idea blindarlos contra todo. Las dos mejores opciones a considerar es usar una Máquina Virtual o tener im equipo específico con limitada conexiones y configurado para autorestaurarse a un punto anterior, de forma que cada vez que sea apagado, cualquier cambio posterior a ese punto inicial, sea eliminado.

¿Qué hacer si ya has sido infectado?

Probablemente estés pensando en que tu mejor opción es llorar, pero quizá noooo este todo perdido:

1. Mantén la calma, la frialdad y el control. Recuerda que aún no se han inventado las máquinas del tiempo, pero todavía podemos reducir el impacto.

2. Desconecta cualquier posible dispositivo infectado de Internet y entre ellos tan pronto como sea posible para detener la infección. Apaga cualquier sistema para conseguir más tiempo.

3. Nunca pagues por desbloquear los archivos. Como mencioné antes, no garantiza nada, tal vez porque no querían darte una solución o incluso el código no este bien programado. Lo único seguro, es que vas a perder ese dinero al 100% y sin ir al casino 🫡💸.

4. Identifica el rasonware. Normalmente se dirigen a un gran número de víctimas potenciales. Esto permite encontrar posibles soluciones o herramientas para desencriptar sus archivos.

5. Reporta el ataque. Notifica a las autoridades locales o agencias de cyberseguridad, ellos podrían ayudarte, o al menos evitar futuras víctimas.

6. Contactar con profesionales de la ciberseguridad o organizaciones como el Centro Nacional de Ciberseguridad (CNC). Quizá ellos puedan ayudar a recuperar tus archivos, además de ofrecer consejos y auditorias para evitar futuros ataques.

7. Solamente después de estar completamente seguro de haber eliminado la amenaza. Intenta restaurar tus archivos usando copias de seguridad.

8. Vuelve a leer “¿Cómo evitarlo?” ⬆️.

Imagina que tienes la mejor puerta y cerradura en tu casa, pero alguien logra engañarte para que les abras la puerta, como un testigo de Jehová, un asesino en serie o trabajador de hacienda. Así es exáctamente funciona la ingeniería social en cibersecuridad! En vez de hackear tus dispositivos directamente, los atacantes manipulan a las personas para que les den acceso a información sensible como contraseñas, números de tarjeta de crédito o el sistema entero.

¿Cómo Funciona?

Los hackers pueden usar trucos psicológicos para engañar y hacer que la víctima confie en ellos o actúe sin pensar. Aquí las tácticas más comunes:

• Pishing: Mediante emails falsos pretendieindo ser alguien de confianza (como un banco o tu jefe) para robar las credenciales de acceso.
  

• Pretexto: Intentando engañarte inmitando otra persona como un asistente técnico para acceder a tu sistema.

• Bait (cebo): El hacker deja un USB drive infectado en un lugar público, con la esperanza de que alguien por curiosidad, lo conecte a su equipo.

• Tailgating: El hacker puede intentar infiltrarse en un edificio corporativo siguiendo otros empleados y haciéndoles pensar que ha olvidado su ID o pase.

Pero cuidado, ellos pueden ser muy creativos en esto y existen multiples formas de engañar, como llamadas de teléfono, mensajes de WhatApp o incluso visitas a domicio, con el fin de lograr su cometido.

Ejemplos famosos de ataques de ingeniería social

🔹 La Estafa de Bitcoin en Twitter (2020): Varios hackers engañaron a los empleados de Twitter para obtener el acceso a perfiles de alto nivel como Elon Musk o Barack Obama y luego los usaron para publicar tuits falsos pidiendo bitcoins.

(Hackeo en Twitter: un ataque masivo lleva a Twitter a suspender las cuentas de numerosas personalidades - BBC News Mundo )

🔹 Filtración de Datos de Target (2013): Los atacantes engañaron a una empresa par aobtener las credenciales de acceso y poder robar la información de las tarjetas bancarias de más de 40 millones de clientes.

('Hackers' roban datos de 40 millones de clientes de Target en EE.UU. | CNN )

🔹 Kevin Mitnick (1990): Uno de los hackers más famosos, desarrolló la ingeniería social para engañar a muchos empleados para obtener contraseñás y accesos a los sistemas de importantes corporaciones.

(El hacker más buscado: La historia de Kevin Mitnick - CiberINseguro )

Como Evitarlo

1. Piensa Antes de Actuar: Más presión o urgencia, mayor riesgo de ser estafa. Mensajes comunes como tu sistema ha sido hackeado, tu cuenta bancaria ha sido cancelada o vas a ser deportado y no estás en Estados Unidos. Se muy cauteloso, es aquí, con las prisas y el estrés donde podemos cometer los mayores errores. Toma tu tiempo para proceder.

2. ¿Es Legítimo? ¿Estas esperando este mensaje?¿Pregunta por información privada?¿Pide realizar una acción con urgencia? Sospecha 😶.

3. Verifica Identidades: Contacta con la compañía, pregunta por sus identificaciones, pide consejo a personas cercanas a ti, comprueba si ellos pueden acceder a información que deberían conocer.

4. Estate Alerta: Con la IA, no es nada loco recibir una llamada de un familiar que no es esa persona, o incluso una videollamada de Leonardo Di Caprio pidiéndote casarte con él, especialmente si eres hombre o y sobretodo si tienes más de 25; errores ortográficos, diferentes formas de expresarse. Cualquier detalle puede ser crucial para salvarte de caer en la trampa.

5. Hazlo difícil: Usa diferentes contraseñas difíciles, usa sistemas cono factor de doble autentificación, limita toda la información personal que compartes.

La Ingenieria Social funciona porque la gente son el nexo más debil de la seguridad. La mejor defensa es estar alerta, ser excéptico y mantener una buena comunicación con otros.

Que es la Nube (Cloud)?

La nube se refiere a guardar y accceder a información y programas a través de internet, en vez de usando un dispositivvo físico, esto perfectamente podría ser magia al alcance de cualquiera ¡Ya no tienes que esperar nunca más a que te llegue esa carta de Hogwarts! Servicios como Google Drive o Drop Box en donde puedes guardar tus fotos y archivos para luego acceder desde cualquier parte. Incluso los servicios de streaming más importantes como Netflix o Youtube están usando la nube.

Riesgos de la Información Virtual (Cloud) en Cibersecuridad

Mientras que los servicios en nube son convenientes y fáciles, también vienen con diversos riesgos:

• Brecha de Datos: Si algun hacker logra acceder al servicio de nube, puede robar información personal o empresarial ¿Te acuerdas cuando iCloud fue hackeado y terminó filtrándose libremente en la red el contenido privado de muchos famosos?

• Acceso No Autorizado: Una contraseña débil o un fallo de seguridad puede permitir a hackers acceder a tu cuenta.

• Perdida de Información: Si el proveedor del servicio en nube falla y no dispones de copias de seguridad, tu podrías perder archivos importantes. Adiós a presumir de tus fotos de vacaciones en la próxima reunión familiar o quizá un projecto en el que empleaste muchas horas.

• Preocupación Sobre Privacidad: Algunas compañías podrían recolectar y analizar tu información personal sin que tú seas consciente.

Los Mejores Trucos Para Proteger tu Información en la Nube

• Usa contraseñas difíciles y 2FA: Estate seguro de que tus cuentas tienen contraseñas difíciles de adivinar y únicas, además de un servicio de doble factor de autentificación activo.

• Encrypt Sensitive Files: Antes de subir archivos a la nube, asegurate de encriptarlos.

• Copias de Segurida con Regularidad: Guarda copias de seguridad en Local (formato físico) de tus archivos más importantes por si pasara algo al servicio de la nube.

• Ten Cuidado con que Compartes: No compartas ningun link con archivos o información sensible al menos que sea necesario y limita los permisos de control en la configuración.

• Usa Servicios de Nube Confiables: Elige servicios en nube confiables como Google Drive, OneDrive, o Dropbox.

• Estate Alerta de las redes Wifi Publicas o Gratuitas: Some Algunas redes Wifi pueden ofrecer acceso a tus credenciales a terceros. Usa una red VPN para evitar riesgos.

• The Guardian es una publicación financiada por sus lectores. Para recibir nuevas publicaciones y apoyar mi trabajo, sería de gran ayuda si decides subscribirte.

¿Qué es la Cibersecuridad?

Es la práctica de proteger equipos informáticos, pero también redes y toda información de cualquier persona malévola. Esto incluye información desde tu cuenta bancaria hasta aquellas fotos tomadas durante la barbacoa de aquel día que dijiste a tus jefes que estabas enfermo, así como cualquier tipo de malware.

¿Por Qué la Cybersecuridad es Importante?

Imagina que alguien accede a tus conversaciones privadas con tus amigos y liges, obtiene el control de tus redes sociales o ¡Incluso peor! Envia mensajes a todo/as tus exs desde tus cuentas. Definitivamente peor que el alcohol ¿Verdad?

• Proteger la Información Personal de cualquier persona o entidad external. Ok, desafortunadamente quizá no lo haga del gobierno.

• Evitar Ciber Ataques donde el malware puede infectar ordenadores y causar serios problemas. Imagina intentar reducir tu huella de carbono gastando mucho dinero en sistemas eficientes, para luego ser infestado y que tus dispositivos empiecen a minar bitcoins para un random disparando el consumo eléctrico, y peor, ¡También la factura 😱!

• Mantiene los Negocios a Salvo incluyendo la información de tus clientes, porque tu no quieres perder tu credibilidad ante tus clientes, pero no solo eso. Imagina que hubiera ocurrido si una compañía hubiera cogido la receta de la Coca Cola antes de que se volviera popular. Quizá esa compañía no existiría más, en su lugar tendríamos otra como Cola-Ine o Pepsi.

• Evita Robos de Identidad no solo para enviar mensajes a tus exs, imagina alguien obteniendo un gran préstamo bancario o alquilando una autocaravana en tu nombre para hacer mercancía azul dentro ¡Y no de la mejor! Tendrás que dar muchas explicaciones ante la policía.

Conceptos Básicos de Cibersecuridad que Deberías Saber

• Hacker: Persona que intenta acceder forzosamente dentro de un equipo informático o red. Algunos hackers son malos (black hat), otros tratan de mejorar la securidad (white hat).

• Malware: Cualquier software o código diseñado para dañar un equipo informático como virus, gusanos o software espía.

• Virus: Malware que intenta replicarse a si mismo con el objetivo de infectar todos los dispositivos posibles.

• Gusano: Malware similar a un virus que no depende de ningún programa para enviarse y propagarse.

• Troyano: Malware que intenta hacerse pasar por un programa legítimo y ofrece acceso a agentes externos, permite robar información o el control de un dispositivo.

• Phishing: Un truco usado por cibercriminales para engañar y robar información mediante emails falsos.

• Firewall: Un sistema de seguridad para bloquear el tráfico no deseado en tu ordenador.

• Autentificación de doble factor (2FA): Es una medida extra de seguridad mediante una verificación extra (como un SMS), además de tu password.

• Encriptación: Modificar información para que solo las personas deseadas puedan acceder.

• VPN (Red Virtual Privada): Es una herramienta que permite ocultad tu actividad e identidad online.

• Ingeniería Social: Medios y trucos que usan hackers para acceder a la información personal haciendose pasar por alguien de confianza.

• Ransomware: Un tipo específico de Malware que bloquea todos tus archivos y demanda un pago para desbloquarlos.

• Ataque Día Zero (Zero-Day Attack): Un ciberataque que toma la ventaja de cualquier vulnerabilidad antes de que esta sea solucionada.
  
  

  The Guardian es una publicación financiada por sus lectores. Para recibir nuevas publicaciones y apoyar mi trabajo, sería de gran ayuda si decides subscribirte.

¿Qué es una VPN?

La explicación corta es red (Network) Virtual Privada.

La explicación larga es que se trata de un software que establece una conexión segura entre tu ordenador e Internet haciendo pasar tu tráfico por un túnel cifrado hasta un servidor situado en un lugar remoto. Esta conexión encriptada puede ayudarte a proteger tu intimidad en Internet y a eludir cortafuegos y desbloquear sitios web y contenidos en streaming restringidos geográficamente. Tu ISP no sabrá qué aplicaciones usas ni qué sitios web visitas, y por el mismo mérito, las aplicaciones y los sitios web no pueden ver tu ISP ni tu dirección IP pública. Más información a continuación.

¿Cómo funciona una VPN?

Imagine una VPN como un túnel seguro para su conexión a Internet. Aquí tienes una forma sencilla de entenderlo:

1. Su dispositivo: Digamos que tu portátil es donde comienza tu viaje.

2. Internet: Piense en Internet como en una autopista muy transitada con muchos coches (datos) que van en todas direcciones.

3. El túnel: Una VPN crea un túnel privado y seguro entre tu dispositivo e Internet. Este túnel oculta tu actividad a cualquiera que circule por esa autopista.

Cuando utilizas una VPN:

• Cifrado: Tus datos se cifran (se convierten en un código secreto) para que, aunque alguien los intercepte, no pueda entenderlos.

• Servidor: Tus datos pasan primero por un servidor VPN (un ordenador especial) antes de llegar a Internet. Este servidor puede estar situado en cualquier parte del mundo, por lo que los sitios web ven la ubicación del servidor en lugar de su ubicación real.

• Anonimato: Como tu actividad en Internet parece proceder del servidor VPN, éste oculta tu dirección IP real (un identificador único de tu dispositivo en Internet), lo que te proporciona más privacidad.

Así, con una VPN, podrás navegar por Internet de forma más segura y privada, evitando miradas indiscretas como las de piratas informáticos o administradores de red entrometidos.

Subscribe now

¿Debería utilizarla?

Deberías utilizar una VPN si valoras tu privacidad online de alguna manera. Pero una VPN puede hacer mucho más que ocultar tu actividad online a terceros como tu proveedor de Internet, agencias gubernamentales, ciberdelincuentes, anunciantes o cualquier otro fisgón. Estas son algunas de las razones por las que deberías considerar una VPN, dependiendo del tipo de usuario de VPN que seas.

La necesitas si:

Si tienes necesidades de privacidad críticamente elevadas, ya sea en España o en un país con bloqueos por censura en Internet como Venezuela, deberías priorizar la seguridad y la privacidad a la hora de elegir una VPN. Por ejemplo, periodistas de investigación, abogados, médicos y activistas pueden beneficiarse del uso de una VPN.

• Si quiere eludir la censura en Internet, debe utilizar una VPN.

• Si quiere eludir los cortafuegos del trabajo o de la escuela, o los impuestos por el gobierno del país en el que se encuentra, debería usar una VPN.

• Si quieres acceder a herramientas de comunicación como Messenger, WhatsApp, X, Instagram y Zoom desde países con regímenes represivos, deberías usar una VPN.

• Si se encuentra en un país durante un periodo de agitación política o social en el que el acceso a herramientas de comunicación vitales está suspendido o restringido, debe utilizar una VPN.

• Si viaja y se conecta a puntos Wi-Fi públicos no seguros, debería utilizar una VPN.

• Si quiere evitar que su proveedor de servicios de Internet controle su actividad en la Red, debería utilizar una VPN.

• Si te concierne bastante sobre la privacidad en general.

Puedes necesitarla si (pero no es imprescindible):

• Si quieres desbloquear contenidos de streaming con restricciones geográficas en servicios como Netflix, Hulu, Prime Video, Max y Disney Plus, deberías usar una VPN.

• Si quieres acceder a tu cuenta bancaria desde el extranjero, deberías usar una VPN.

• Si quieres encontrar las mejores ofertas en cualquier cosa, desde videojuegos a cosméticos o billetes de avión, deberías usar una VPN.

• Si tu proveedor de Internet está limitando la velocidad de tu conexión por alguna razón, deberías usar una VPN.

• Si eres un jugador y quieres globalizar tu experiencia de juego y unirte a redes de juego de todo el mundo, deberías usar una VPN.

Mucho cuidado, algunos servicios de streaming o juego en linea, han empezado a bloquear el uso de VPN’s

¿Por dónde empezar?

1. Elije un servidor VPN: En primer lugar, tendrás que elegir un proveedor de VPN. Algunas opciones populares son ExpressVPN, NordVPN y Surfshark. Puedes comparar sus características y precios para encontrar el que mejor se adapte a tus necesidades.

2. Regístrate y descargala: Una vez que hayas elegido una VPN, regístrate para obtener una cuenta en su sitio web. Después de registrarte, descarga la aplicación VPN para tu dispositivo (Windows, Mac, Android, iOS, etc.)2.

3. Instala la VPN: Siguiendo las instrucciones de instalación proporcionadas por el servicio VPN. Esto normalmente implica ejecutar el archivo descargado y seguir las instrucciones para completar la instalación.

4. Iniciar sesión: Abre la aplicación VPN e inicia sesión con las credenciales que creaste al registrarte.

5. Conectate al servidor: En la aplicación VPN, verás una lista de ubicaciones de servidores. Elige un servidor al que conectarte. Algunas VPN ofrecen una función de «Conexión rápida» que selecciona automáticamente el mejor servidor.

6. Empieza a navegar de forma privada y segura: Una vez conectado, tu tráfico de Internet se enrutará a través del servidor VPN, encriptando tus datos y proporcionándote una conexión segura.

¿Qué pasa con las VPN gratuitas?

El principal problema de las VPN gratuitas es la privacidad, ya que pueden recopilar datos y compartirlos con terceros y añadir anuncios intrusivos. Otro problema podría venir de utilizar protocolos de encriptación más débiles.

Además, ofrecerán una velocidad más lenta, configuraciones limitadas y opciones de servidor de ubicación. En algunos escenarios como el uso de puntos wifi gratuitos, en momentos muy situacionales, podría ser útil. Pero no es un uso recomendado más allá de eso.

Los mejores navegadores

Read more

¿Qué es el Phishing?

Es un tipo de ciberataque, en donde una persona se hace pasar por otra persona, compañía o entidad, con la intención de obtener su información privada, contraseñas, llaves de acceso o incluso tu dinero de forma directa.

Las 2 claves de este ataque son:

• Conseguir una inmitación perfecta para atraer a la víctima y generarle confianza.

• Generar una sensación de urgencia o respuesta rápida y poco meditada.

Tipos de Phishing.

• Phishing por correo electrónico: Un email falso, que intenta copiar uno real de una compañía o persona. El objetivo es lograr obtener una respuesta con información sensible o tener algún link que lleve a una web falsa o a un Malware.

• Spear phishing:Mensajes especiales enviados directamente a una persona importante de una organización con el objetivo de robar información confidencial, dinero o descargar malware en su sistema.

• Manipulación de enlaces: Un enlace hacia una copia falsa de una web real, en donde se demandará el login o el ingreso de información de la cuenta bancaria.

• Whaling (fraude al CEO): Suplanta la identidad del CEO de una empresa con la finalidad de obtener información especial o dinero de otros trabajadores o empresas.

• Inyección de contenidos: Un atacante capaz de inyectar código en una web oficial, para engañar a los usuarios mediante el acceso a una ventana emergente o a una web externa.

• Malware: A los usuarios se les convence de hacer clic o abrir un archivo adjunto que puede descargar malware en sus dispositivos. Este malware robará archivos, información, contraseñas o encriptará todos los archivos del sistema.

• Smishing: Usando mensajes de SMS, los atacantes engañan a los usuarios para que accedan a páginas web falsas, mediante el uso de promociones comerciales o avisos del gobierno.

• Vishing: Los atacantes usan software de modificación de voz para dejar un mensaje en el que le dicen a la víctima que deben llamar a un número telefónico en el que pueden ser estafados. Los cambiadores de voz también se utilizan al hablar con las víctimas, para disfrazar el acento o el género del atacante y así poder hacerse pasar por una persona fraudulenta. Ahora, además se usa IA para copiar la voz de familiares y pedir dinero bajo circunstancias de urgencia.

• Wifi gemelo maligno: suplantando a una red wifi gratuita, los atacantes engañan a los usuarios para que se conecten a un punto de acceso malintencionado para realizar ataques de intermediario.

• Pharming: el pharming es un ataque en dos fases utilizado para robar credenciales de cuentas. En la primera fase se instala malware en la víctima objetivo y se la redirige a un navegador y a un sitio web falso donde se la engaña para que divulgue sus credenciales. También se utiliza el envenenamiento de DNS para redirigir a los usuarios a dominios falsos.

• Angler phishing (phishing con caña): Utilizando las redes sociales, los atacantes responden a mensajes haciéndose pasar por una organización oficial y engañan a los usuarios para que divulguen credenciales de cuentas e información personal.

• Watering hole (abrevadero): un sitio comprometido ofrece infinitas oportunidades, por lo que un atacante identifica un sitio utilizado por numerosos usuarios objetivo, explota una vulnerabilidad en el sitio y la utiliza para engañar a los usuarios para que descarguen malware. Con el malware instalado en los equipos de las víctimas, un atacante puede redirigir a los usuarios a sitios web falsos o enviar una carga útil a la red local para robar datos.

¿Cómo identificarlo?

En el caso de websites, la mejor opción es leer bien la URL, muchas webs falsas tratan de copiar el nombre de las originales cambiando algún carácter o utilizando un subdominio con el nombre idéntico al de la web original. Otra buena opción es comprobar si tienen un Certificado Digital. Yo recomiendo usar este sitio web para conocer la fecha de creación de una página web. Sospecha de cualquier página web creada recientemente!

En el caso de correos y mensajes, la mejor opción de nuevo es comprobar posibles enlaces. Si ellos están pidiendo algo con mucha urgencia, muy seguro sea una trampa, especialmente si procede de tu jefe 🤫. Sabemos que un buen jefe nunca pediría algo con mucha urgencia.

Si algún familiar, compañero de trabajo o amigo cercano te habla por whatapp o te llama para pedirte dinero con urgencia, asegurate de que sea primero esta persona mediante recuerdos, datos o alguna clave que solo ambos conozcáis. Si son primos o ex pareja, mejor no confiar incluso si son reales!

En general siempre van a buscar generar confianza tratando de copiar una empresa, entidad o alguien, para acto seguido pedir dinero con mucha urgencia con el fin de evitar cualquier meditación o verificación.

¿Cómo evitarlo?

Además de evitar cualquier petición urgente de dinero, es importante evitar dar detalles personales. Si no estas completamente seguro, pregunta a otras personas primero. Una técnica común en el Reino Unido, era llamar a la víctima para decirle que había problemas con unos impuestos y que debía pagar urgentemente para evitar problemas legales de inmigración.

Al navegar por internet, evita dar detalles de tu tarjeta de crédito/débito, si no estás totalmente seguro de la web. Aquí es un cierto problema para pequeñas tiendas online, pero son más fáciles de hackear que sitios grandes como Amazon, eBay, PcComponentes o el Corte Inglés. Igualmente, asegúrate de que la web sea legítima, cuanto más importate es un sitio web, más tratarán de inmitarlo.

Para descargar programas y software, intenta usar siempre los canales oficiales de distribución, solo de esta forma podras estar casi seguro de que no trae ningún software malicioso.

Además de esto, evita responder a cualquier mensaje sospechosos o clickar en enlaces. incluyendo también páginas web o aplicaciones desconocidas, además de casi cualquier ventana emergente.

Finalmente, intenta evitar el uso de redes wifi públicas. En caso de uso, verificar que sea legítima, que no haya ninguna otra con nombre parecido y durante su uso, evitar ofrecer información sensible así como realizar cualquier forma de pago o acceso a aplicaciones bancarias. Te sorprendería lo económico que sale crear una red wifi falsa bajo el nombre de startbucks en un sitio turístico solo para robar información. Y tampoco le robes el wifi a tu vecino si sospechas que tiene conocimientos avanzados de informática!

¿Que pasa si ya he sido víctima?

Después de haber enviado su información a un atacante, lo más probable es que esta se comparta con otros estafadores. Lo primero es verificar que información ha podido ser comprometida y proceder a cambiar contraseñas, anular tarjetas y verificar que está activada la doble verificación en el acceso. Denunciar en lo posible es un paso importante a la hora de evitar futuras estafas. En el caso de España, se puede realizar mediante el Instituto Nacionoal de Cibersegurididad.

Es probable que reciba mensajes de vishing y de smishing, nuevos correos electrónicos de phishing y llamadas de voz. Estate alerta así como avistar a familiares y allegados, ya que podrían usar la información substraida para intentar estafarles a ellos tambien.

Una certificación digital que valida la autenticidad entre una website un usuario, compañía o entidad similar. Dicho de forma más técnica:

Un archivo electrónico vinculado a un par de llaves criptográfica de autentificación de identidad de un responsable sobre ese dominio web.

Es usado para mostrar que hay una persona responosable detrás de la página web, lo que reduce significativamente el riesgo cuando se navega a través de ellaa. En caso de problema, falsificación, robo de información, etc… “Alguien” debería tomar la responsabilidad legal.

Cómo funcionan?

Su funcionamiento es similar a una tarjeta de identidad, para probar la identidad de alguien o la seguridad de una conexión.

1. Emisión por una autoridad de confianza: Una organización de confianza llamada Autoridad de Certificación (CA), como Verisign o Let's Encrypt, emite el certificado. Verifican la identidad de la entidad que lo solicita (normalmente un sitio web o una persona) antes de emitir el certificado.

2. Cifrado y claves: El certificado tiene un par de «claves»: una pública y otra privada. La clave pública se comparte con cualquiera que quiera conectarse de forma segura a la entidad certificada, mientras que la clave privada la mantiene en secreto el titular del certificado.

3. Asegurar la transferencia de datos: Cuando te conectas a un sitio con certificado digital, tus datos se cifran con la clave pública del sitio. Sólo la clave privada del sitio puede descifrarlos, por lo que permanecen a salvo de terceros.

4. Autenticación: El certificado digital también autentifica la identidad del sitio. El navegador comprueba que el certificado es válido y está firmado por una CA de confianza. Si lo es, su navegador confía en el sitio y le permite conectarse de forma segura.

5. Caducidad y renovación: Los certificados caducan al cabo de cierto tiempo (no más de 27 meses) y hay que renovarlos, lo que garantiza que la información se mantiene actualizada y segura.

En resumen, un certificado digital garantiza a los usuarios que se comunican con la entidad correcta y que su información está protegida durante la transmisión.

Tipos:

• Validación ampliada EV SSL: Proporciona una autenticación empresarial completa, necesaria para manejar datos extremadamente sensibles para empresas u organizaciones de mayor tamaño. Es una prioridad en el sector financiero porque proporciona el mayor grado de confianza, seguridad y autenticidad.

• Certificado de cliente: Un certificado de cliente es una identidad digital que identifica de forma única a una persona frente a otro usuario, ordenador o máquina. El correo electrónico es un ejemplo típico de ello, en el que el remitente firma digitalmente un mensaje y el receptor verifica la firma. Esta es la forma más eficaz de verificar los certificados.

• Certificado de firma de código: Se requiere para verificar la legitimidad de software o archivos obtenidos de Internet. Es la prueba de que el software es auténtico. Especialmente útil cuando se utilizan sitios web externos como proveedores.

• Certificado TLS/SSL: Un servidor de programas, correo o web, por ejemplo, utiliza un certificado TLS/SSL para garantizar y asegurar la comunicación cifrada y confidencial con sus clientes. El certificado proporciona al servidor la autenticación que necesita para transmitir y recibir comunicaciones cifradas a los clientes.

• Validación de dominio DV SSL: Cualquier sitio web puede utilizar una técnica de validación rápida que funciona con un certificado verificado por dominio. Es barato de obtener y está listo para usar en pocos minutos.

Como pueden ayudarme a mi o a mi negiocio?

La principal razón es evitar que nadie pueda replicar un sitio web. Asegura que toda la información sea encriptada, especialmente importante cuando los usuarios deben logearse o incluso añadir detalles de tarjetas de crédito y otra información sensible.

Además, si tu web no dispone de uno de estos certificados, es muy probable que los propios navegadores y buscadores invisibilicen tu web para priorizar la seguridad del usuario. Esto puede ocurrir también si teniendo un certificado, este caduca. Es importante tener la fecha de caducidad en mente para evitar un gran desastre en SEO.

De la misma forma, es importante evitar acceder a cualquier sitio que no disponga de este certificado, por nuestra propia seguridad o la de nuestro negocio.

¿Cómo se si una web dispone de él?

Tienes que poder observar un símbolo de un candado en la esquina superior del navegador, adicionalmente te avisará de que la conexión es segura y usarán HTTPS en lugar de HTTP:

Normalmente para aplicar estos certificados, el servidor donde tenemos alojada nuestra web, debería ofrecernos una opción dentro del cPanel. Aquí nosotros podemos aplicar nuestras keys o demandar nuevas. Por defecto, debemoos dejar siempre activada la opción de SSL para (HTTPS), si todavía no lo está.

Espero que ninguno de vosotros tenga contraseñas como «TuNombre5», «1234» o «TuNombreDeEmpresa1234», aunque la realidad me ha demostrado que es más frecuente de lo que desearíamos. ¡No será la última vez que me encuentre con una empresa que cubre todos los servidores de sus clientes con este tipo de contraseñas!

¡Gracias por leer el Substack de Eduardo! Suscríbete gratis para recibir nuevos posts y apoyar mi trabajo.

Subscribe now

¡Evita que lo adivinen!

Es muy fácil obtener información sobre los demás a través de las redes sociales; a veces, no te das cuenta de quién quiere acceder a tus cuentas.

• Evita utilizar información relacionada contigo. Esto incluye nombres, fechas y cualquier otra cosa a la que otra persona pueda tener acceso o recordar.

• ¡Tus favoritos también pueden ser adivinados! No es una buena idea usar tu color o película favorita allí. Olvídalo.

• No cualquier nombre famoso o fecha es aún mejor. A veces es incluso mejor no utilizar ninguna palabra real.

• Evita usar la misma contraseña en todos los sitios. Utiliza una contraseña única o al menos una variante de otras.

Hazlo más difícil de lo que cualquier máquina pueda.

Hemos cubierto las defensas básicas contra los humanos. Ahora es el turno de la autodefensa contra las máquinas. Hazles sufrir con miles de millones de intentos antes de romperlo, será tan caro que nadie querrá romperlo.

• A mayor longitud mejor. Aquí depende de las limitaciones del sistema o sitio web concreto. La mayoría de los sitios web deberían permitir hasta 50 carácteres. Yo recomiendo un mínimo de 25-30 caracteres, pero no dudes en utilizarlos todos.

• Mezcla de todo en tu contraseña. No eres un chef, no debes preocuparte por el resultado final. Mezcla tantas letras minúsculas, mayúsculas, números y símbolos como sea posible, hará más difícil descifrarla.

• Si se te acaban las ideas ¡Mezcla caráteres al azar!

*Por supuesto, no necesitas contraseñas enormes para ningún servicio. Las más importantes son las de redes sociales o servicios de correo electrónico como cuentas bancarias, Facebook o Gmail, que pueden utilizarse para iniciar sesión en otras aplicaciones. En una web de búsqueda de empleo, yo no me esforzaría demasiado.

¿Cómo sería una contraseña perfecta?

Cómo sería un ejemplo de una contraseña perfecta sería:

naT7r*>leotGer677_0123H+np=ntt7t723fD-f-31

Por supuesto, puedes hacerla más fácil de recordar utilizando algo como:

(I love the pizza more than my mother)

1L0VvV37hep!ZZaM000rTh/\nmy_M0D333Rrr$

(No puedo comprar en Amazon porque no tengo dinero, me pone muy triste)

LLoN0$$$inAMZ_PK_!€=llO_MuY-MuY_:(

(Ser o no ser, esa es la cuestión cuando estoy en el trabajo)

5erOno5er_EsaIsL/\?-KuandLLo@wrK

Otra opción para que sea más fácil de recordar podría crear una mnemotecnia:

(José y María pasaron su luna de miel en pareja en septiembre de 1994)

j&M->Lun/\m1eloSa->P->$ep7iemBr3_199a

Puedes usar esta herramienta para ver como de segura es tu contraseña. pero te recomiendo que no uses tu contraseña, usa una similar:

https://www.security.org/how-secure-is-my-password