Consejos pra虂cticos para proteger tu identidad digital 馃攼

Hace unos d铆as un amigo me cont贸 de una experiencia que tuvo donde el robo de un celular desencaden贸 mucho estr茅s y situaciones que uno muchas veces no contempla.

Por lo general cuando escuchamos de un robo o p茅rdida de celular lo primero que pensamos es en 鈥渧a a terminar en una casa de empe帽o o en el tianguis鈥.

Sin embargo, hoy en d铆a nuestro smartphone es m谩s que una simple herramienta para hacer una llamada o enviar un SMS, la mayor parte de nuestra vida se encuentra contenida en ese peque帽o aparato, adem谩s de que es la puerta de entrada a nuestra identidad digital.

Desde cuentas de redes sociales (Twitter, FB, IG, TkTk, etc) hasta ya temas m谩s serios, como accesos bancarios, criptomonedas (para estar a la moda), servicios de compra en linea, entre otros, est谩n contenidos a solo un slide de distancia.

Incluso he llegado a escuchar a familiares y conocidos decir 鈥渘o tengo nada que ocultar鈥 o 鈥渘o tengo nada que me roben鈥.

Pero vi茅ndolo en perspectiva 驴te has cuestionado, qu茅 pasar铆a si alguien al robar tu celular tuviera suficiente tiempo para acceder a tu correo electr贸nico y cambiar tu tel茅fono de acceso adem谩s de las claves de recuperaci贸n?

Nota: Todo lo que voy a compartir a partir de aqu铆 son solo consejos de alguien que ya tiene unos cuantos a帽os vagando por este mundo digital, no soy ning煤n experto en seguridad, ni s茅 hackear FB. Sin embargo, me pareci贸 importante apoyar un poco a crear conciencia en estos temas.

La seguridad de nuestra identidad digital debe ser algo que tengamos bien presente a la hora de crear cuentas en los distintos servicios en los que nos hemos registrado o estemos por agregar a nuestra lista.

Muchos hemos pasado por el ir agregando nuevos caracteres a una contrase帽a b谩sica que obtuvimos hace unos ayeres y pensando que nuestra estrategia es infalible y 鈥渃贸moda鈥 porque nadie nunca sabr谩 como la creamos.

Password memories commitstrip

Pero hoy d铆a, las computadoras pueden calcular una cantidad enorme de passwords por segundo, para expresarlo en n煤meros redondos, este art铆culo de Gizmodo AU escrito en 2020 menciona la cifra de 100,000,000,000 passwords por segundo. Dentro del art铆culo se comenta que un password de 8 caracteres puede ser hackeado en aproximadamente 12 minutos usando una instancia en la nube. Ahora bien, entre m谩s larga sea nuestra contrase帽a m谩s tiempo le tomar谩 a un atacante el tratar de calcularla.

Por lo que nuestra mejor opci贸n hoy d铆a es hacer uso de alg煤n servicio de manejo de contrase帽as, el cual se encargue de generarlas y almacenarlas quedando as铆 la tarea de aprender solo una contrase帽a maestra. Esta contrase帽a deber铆a ser lo suficientemente compleja como para evitar que nos la roben en un par de minutos.

Aqu铆 en los internets existen una gran cantidad de servicios, los cuales podemos usar para esta labor, entre los m谩s populares destacan 1password.com, lastpass.com, enpass.io, safe-in-cloud.com entre otros. El servicio que decidas utilizar depender谩 de factores como el si almacena las contrase帽as en la nube de la empresa proveedora o en un archivo encriptado en tu nube personal, as铆 como del precio y algunas funciones como llenado de formularios o integraci贸n biom茅trica con tu smartphone. Si a煤n no utilizas ninguno, no pierdes nada con echarles un ojo, muchas de estas herramientas incluso cuentan con funciones que te permiten detectar si alguno de tus passwords ha sido comprometido y anda vagando por ah铆 en la Dark web.

Dark web monitoring

Search compromised passwords

Ahora bien esto es algo muy general, si un atacante lograra adue帽arse del acceso a tu correo electr贸nico y de tu n煤mero de tel茅fono, podr铆a simplemente solicitar la recuperaci贸n de contrase帽a a los servicios y comenzar a hacer cargos a tu nombre. Para buscar limitar o retrasar el que el atacante pueda ingresar al resto de los servicios relacionados con tu cuenta. podemos utilizar lo que se le conoce como la autenticaci贸n en 2 factores (2FA). Esta funci贸n har谩 que los servicios donde este activa soliciten una clave adicional al momento de iniciar sesi贸n. Esta clave es generada de manera din谩mica por algunas aplicaciones como Google Authenticator o Authy.

Algunos servicios te dan la opci贸n de recibas el c贸digo via SMS, pero si estamos hablando del caso hipot茅tico de que nos roben el celular, dudo que queramos que sea nuestra opci贸n preferida.

Complementando lo que habl谩bamos de manejadores de contrase帽as, algunos de estos servicios incluyen ya la funcionalidad para que tambi茅n manejar el token din谩mico del 2FA. Por el momento no tengo una postura respecto a manejar las contrase帽as y los tokens de 2FA en una sola herramienta o dividir las responsabilidades. Si tu utilizas la misma herramienta para ambas labores me gustar铆a leer tu opinion.

Si realmente quisi茅ramos llevar este tema del segundo paso de autenticaci贸n a otro nivel, existen herramientas como las YubiKey creadas por yubico.com, las cuales nos permiten hacer login hasta que la llave este conectada a nuestra computadora o smartphone y lo hayamos aprobado.

El principal contra de estas llaves es que no todos los servicios lo soportan, sin embargo es una buena opci贸n para proteger los servicios m谩s importantes, como nuestro correo electr贸nico (en el caso de Gmail).

Como un 煤ltimo consejo, identifica donde puedes dar de baja dispositivos de tus cuentas principales, por ejemplo Google tiene esta ruta donde puedes ver que dispositivos est谩n conectados a tu cuenta y terminar la sesi贸n desde ah铆. https://myaccount.google.com/device-activity

Recapitulando:

Espero este art铆culo te sea de utilidad, repito no soy un gur煤 de seguridad, sin embargo creo esta es informaci贸n valiosa que puede servirle a m谩s de una persona, si conoces a alguien que le pudiera servir por favor ay煤dame a difundirlo.