Para tomar buenas decisiones para el cuidado de nuestra seguridad digital, vale la pena conocer el tipo de amenazas o ataques más comunes. Aunque no son las únicas, podemos identificar tres grandes categorías:

a. Malware
Es un término que engloba cualquier tipo de software creado con la intención de causar daño. Este tipo de software nocivo tiene la capacidad de interferir con el funcionamiento de los dispositivos, supervisar lo que se hace en ellos, disminuir su rendimiento, tomar el control, e incluso eliminar los datos almacenados en su memoria.

Dentro del malware, el ransomware es aquel que “secuestra” un dispositivo o los datos que contiene hasta que se paga un rescate a los atacantes. Aunque las víctimas más deseables son las grandes empresas y gobiernos, quienes pueden pagar montos más altos, cualquier usuario puede ser afectado. Dejar sesiones abiertas en dispositivos públicos puede ponerte en riesgo de un ataque por oportunidad.

b. Escucha indiscreta y ataques de intermediario
Estos ataques implican la intercepción de comunicaciones entre dos partes que no saben que están siendo escuchados. El ataque puede ser pasivo, solo la escucha, o activo, donde el atacante altera la comunicación o suplanta a una de las partes.

c. Ataques de ingeniería social
Son aquellos ataques que se ejecutan a través de la interacción humana, utilizando técnicas de manipulación psicológica para lograr que las víctimas entreguen su información confidencial o cometan otros errores de seguridad que los dejen vulnerables.

El delito informático más prevalente pertenece a esta categoría y se denomina phishing. Es una técnica de fraude donde los atacantes envían comunicaciones, correos electrónicos o mensajería instantánea, haciéndose pasar por entidades confiables. A menudo, incluyen enlaces a páginas web trucadas que parecen ser legítimas y solicitan a las víctimas datos personales, como nombres de usuario, contraseñas, detalles bancarios, códigos de seguridad, entre otros. Esto permite al hacker realizar transacciones sin autorización. Este fraude también puede realizarse por llamada teléfonica o chat, en cuyo caso recibe el nombre de vishing.

Los ataques de ingeniería social pueden ser de baja demanda para los atacantes, como el envío masivo de correos idénticos, o de alta demanda, implicando una gran inversión de tiempo. Los atacantes pueden investigar previamente a la víctima, construir pretextos e historias creíbles en su contexto, y escalar el contacto poco a poco, estableciendo confianza y credibilidad, hasta llegar a persuadir a la víctima de realizar acciones que comprometan su seguridad.

Ahora, ¿cómo podemos cuidarnos?

Entender las posibles amenazas es un buen paso para protegernos. Además, te comparto un listado de recomendaciones para mejorar nuestras prácticas de seguridad informática.

1. Ampliar nuestro concepto de información sensible o confidencial. No solo nuestros datos bancarios o documentos de identificación deben ser confidenciales, sino la mayor parte de nuestra actividad digital. Aunque podamos pensar que nuestras redes sociales o servicios de mensajería sean de poco interés para los delincuentes, en realidad nuestra identidad y contactos pueden ser muy rentables para ellos.

2. La ingeniería social cuenta con que los usuarios no seamos capaces de detectar un ataque, sirviéndose de nuestras emociones o sensación de urgencia. La mejor defensa es mantenernos alerta, desconfiar y verificar. Por ejemplo, es importante verificar la URL del sitio antes de interactuar con él, y verificar la identidad de cualquier interlocutor que solicite información confidencial.

3. Evitar la distracción. A menudo navegamos en el celular a la par de otras actividades que pueden impedirnos notar señales de riesgo. Ser conscientes de cada clic reduce la probabilidad de caer en un engaño.

4. Mantenernos informados y participar en capacitaciones y campañas informativas que ofrezca nuestro centro de trabajo, u organizarlas si estamos a cargo de una institución.

5. Instalar software de detección de malware, y mantener sistemas operativos y software actualizado; así, contaremos con los últimos parches de seguridad disponibles.

6. Activar la autentificación de dos factores, que añade un segundo nivel de protección a las cuentas digitales, siempre que sea posible.

7. Es importante salvaguardar el acceso al correo electrónico y al teléfono celular con cuidado particular, ya que suelen servir como factor de verificación de un gran número de servicios digitales. Además, tener cuidado de nunca compartir los códigos de verificación recibidos.

8. Si extraviamos o nos roban el celular, es importante tomar ciertas acciones, como suspender el servicio de telefonía, avisar a nuestros conocidos, cambiar contraseñas, y revocar el acceso del dispositivo a las cuentas que lo permitan (como Google y Apple ID). Por último, si no hay esperanza de recuperar el teléfono y tenemos la capacidad, podemos borrarlo remotamente para proteger nuestra información personal.

9. Evitar el uso de redes inalámbricas que no pidan contraseña, como las redes públicas, ya que no podremos contar con que la comunicación sea cifrada. El cifrado es una técnica que hace ilegible la información, salvo para su destinatario.

10. Sólo realizar acciones que impliquen información confidencial en sitios seguros, que son aquellos que se identifican con “https” en vez de “http” en su dirección.

En conclusión, la seguridad informática es una responsabilidad compartida que no solo recae en las manos de expertos o tecnologías avanzadas, sino también en las acciones cotidianas de cada usuario. Adoptar prácticas de seguridad sólidas y mantenerse informado son pasos esenciales que todos podemos y debemos realizar para proteger nuestra información personal y contribuir a un entorno digital más seguro en la #CiudadDigital.

Suscríbete a las redes de la Coordinación de Educación Virtual:

Facebook https://www.facebook.com/edvirtualIBEROP
YouTube https://www.youtube.com/channel/UCKe1fjvzbqEKevTJQjbgVMQ
Instagram https://www.instagram.com/eduvirtualiberop/

Puedes contactar a la autora a través de: LinkedIn (https://www.linkedin.com/in/sofiavelazquez/)

Publicado originalmente en e-consulta.