Sé lo que hiciste... las últimas 24 horas
El invierno llega a la ciudad como un pariente al que no quieres ver, que viene de visita sin avisar y que parece que nunca se va a ir.
A las siete de la mañana, lo primero que siente Antonio es el zumbido del despertador retumbar en su cabeza. Todavía dormido, consulta su smartphone por si se hubiera perdido alguna noticia.
De la que se olvida en cuanto percibe el olor a café y tostadas recién hechas, mientras desayuna con su familia y consulta los últimos emails en la tableta.
Hoy le toca llevar a su hija al colegio. Por suerte, Antonio lleva activada en el coche una app que le informa en tiempo real del estado del tráfico. Gracias a ella, ha evitado los atascos y llegado a tiempo.
Al llegar al colegio recuerda que tiene que hacer una videollamada. Tras dejar a su hija en la puerta decide buscar desde su móvil una wifi pública para hablar con un cliente y no gastar los pocos datos que le quedan.
-¡Bingo!- Se dice animado porque no le cuesta nada dar con ella. Y es que al poco de iniciar la búsqueda se encuentra con dos wifis abiertas. -Escogeré esta misma que es gratis y no necesita contraseña-.
Cuando Antonio llega a la oficina tiene mil cosas en la cabeza, ni siquiera se detiene a saludar a la recepcionista, que le sigue con la mirada sin dejar de sonreír.
Lleva horas dándole vueltas a la misma idea y atendiendo llamadas. Las palabras centellean en la pantalla: un mail de su banco y acto seguido otro mensaje solicitándole el cambio de contraseña que resuelve como siempre: Ignorar.
Desesperado, decide airearse y tomarse un café con los compañeros. Pero no le dura mucho tiempo el recreo. Al poco la pantalla de su móvil vuelve a encenderse y vibrar como si bailara la conga. -¡Otro cliente!-
-¡No me creo que por fin esté de vuelta! Ha sido el peor día de la semana. Menos mal que hoy juega mi equipo de fútbol… .-
-¿Ya has llegado? ¡Hay que bajar a Max!-
-¡Oh, no!-
Por suerte, desde el parque puede conectarse a la red wifi abierta de un centro comercial. -¡Ya lo tengo! Buscaré una web para ver el partido en streaming y compartir mis próximas vacaciones con mis amigos… ¡Qué poco queda!-.
Ya en casa, Antonio recibe un email de su jefe, que está enfadadísimo. -Mañana hablamos. Nos han hackeado.- Pero, ¿qué ha pasado?
Sin quererlo, Antonio ha cometido a lo largo del día varias imprudencias que han puesto en riesgo la ciberseguridad de su empresa. Y lo peor es que ni siquiera se ha dado cuenta de ello. ¿Sabrías identificar cuáles han sido sus errores?
1
Conexiones poco fiables
Cuando estaba en casa, Antonio se conectó a la red corporativa de su empresa, una práctica nada recomendable a menos que se haga desde un dispositivo corporativo cifrado o la propia oficina, que en teoría cuenta con unas medidas de seguridad más estrictas. Además, tanto en su móvil, como en su tableta, tiene aplicaciones que han accedido a su historial y a varias de las contraseñas de la conexión interna de la compañía.
Para evitar este problema, Antonio debería contar con una solución de seguridad en todos sus dispositivos de casa o conectarse a la red corporativa usando un VPN. En estos casos también se recomienda mantener actualizados los equipos y no desbloquear los permisos en Android.
2
Wifis públicas
Al conectarse a la wifi pública, a Antonio se le han colado unos visitantes no deseados que han aprovechado la ocasión para entrar en su terminal y robar sus datos. Por otra parte, al realizar la videoconferencia también ha puesto en peligro la seguridad de sus clientes.
Conectarnos a una red pública es realmente arriesgado y solo se recomienda en situaciones de emergencia. En el caso de hacerlo lo más aconsejable es no transmitir información confidencial (como por ejemplo no meternos en nuestra app bancaria), instalarnos plugins especiales para el navegador como HTTPS Everywhere, o utilizar una VPN (las hay gratuitas como por ejemplo ProXPN, Cyber Ghost, Your Freedom y HotSpot Shield), además de contar con una solución de seguridad para dispositivos personales o empresas y habilitar las notificaciones de wifi vulnerable.
3
Ataques de phishing y malware
Al abrir la factura que le envió por mail un supuesto proveedor mientras desayunaba, un malware logró entrar en la tableta de Antonio adueñándose del sistema y de sus datos. Más tarde en la oficina abrió un correo de su entidad bancaria que le solicitaba datos personales. Por suerte lo ignoró porque en realidad era un phishing que había suplantado la identidad del banco.
Además de contar con una solución de seguridad, para protegerse contra correos maliciosos y malware, Antonio debería llevar a cabo ciertas prácticas como tener actualizados el sistema operativo y las aplicaciones, la base de datos de virus, utilizar filtros antispam, no entrar en enlaces sospechosos (como por ejemplo ‘Cancelar suscripción’), y hacer copias de seguridad de forma regular.
4
Aplicaciones inseguras
La aplicación que informa del estado del tráfico le ha ahorrado a Antonio varios atascos, pero también le ha ocasionado un posible disgusto. Y es que esta app no estaba disponible en la tienda oficial, sino que se la bajó de otra web. Sin saberlo, se ha bajado una herramienta que, para funcionar, exige a los usuarios el acceso a varios de su datos personales.
Antonio debería haber leído los permisos cuidadosamente cuando se instaló la aplicación, además de no activar el modo Desarrollador en su dispositivo, no activar la opción Instalar aplicaciones de terceros y, en general, no fiarse de las apps de tiendas no oficiales e instalar solo aplicaciones de los canales oficiales.
5
Ordenadores desprotegidos
Pese a que su oficina cuenta con una conexión segura, Antonio ha cometido un grave error: al irse a tomar el café ha dejado abierta la sesión de su ordenador, que da acceso a la red corporativa y a la nube en la que todos alojan los archivos de la empresa. Por otra parte, lleva tiempo sin cambiar su contraseña, que por si fuera poco tampoco es muy fiable.
Para evitar riesgos la empresa debería ofrecer a sus empleados un curso de concienciación de ciberseguridad o disponer de un software que evite o minimice las posibles entradas de invitados no deseados. Por otra parte, Antonio debería cambiar su contraseña periódicamente y evitar utilizar palabras lexicalizadas, nombres propios (como el nombre de su mascota), y apostar por otras combinaciones más complejas, además de la verificación en dos pasos. Para los que están hartos de memorizar miles de contraseñas existen distintos gestores de contraseñas.
6
Ingeniería social
Al bajar al perro Antonio aprovechó para conectarse a las redes sociales y subir un comentario sobre sus próximas vacaciones. Uno más de los muchos que ya había compartido. Lo que no sabe es que los ciberdelincuentes también utilizan las redes sociales para difundir estafas, llevarnos a webs comprometidas y adquirir conocimiento de las personas que trabajan en nuestra empresa.
Con el fin de protegernos contra este tipo de amenazas se recomienda no compartir toda la información sobre nuestras vacaciones en las redes sociales (días concretos o ubicación exacta por ejemplo), comprobar la autenticidad de los perfiles que nos siguen, no facilitar datos personales, rechazar invitaciones de perfiles sospechosos y mantenerse alerta más que nunca en vacaciones, ese correo del departamento técnico de su empresa solicitando la contraseña quizá no sea lo que parece, ya que toda esta información puede ser aprovechada para suplantar nuestra identidad.