Contenido
Introducción
Una cuenta en línea es cualquier servicio digital que requiere registro para su uso, y que almacena nuestra información en la «nube», la cual usualmente es gestionada por el proveedor del servicio. Estos servicios abarcan desde comunicaciones interpersonales y organizacionales hasta gestión de actividades. Algunas cuentas, como las de redes sociales, correo electrónico y de almacenamiento en la nube, se utilizan de manera continua, mientras que otras tienen usos más específicos y temporales.
En las cuentas en línea depositamos una amplia gama de información privada y sensible, desde datos personales hasta documentos relacionados con el activismo, la defensoría o la investigación. Para preservar y controlar la privacidad de esta información, es importante adoptar medidas de seguridad adecuadas.
⚠️ NOTA IMPORTANTE
Para acompañarte en la implementación de las medidas de seguridad, escríbenos a seguridad@socialtic.org. Ten en cuenta que las recomendaciones pueden variar de acuerdo a la tecnología disponible: sistemas operativos, dispositivos, programas, etc. Y a otros elementos del contexto.
¿Por qué es importante?
Estos datos describen algunos de los riesgos al que se enfrentan nuestras cuentas digitales y la importancia de adoptar medidas para proteger nuestra información y actividad en línea.
- Protección de información personal y financiera: Según un informe de Norton, en 2019 se registraron más de 4.1 mil millones de registros comprometidos.1
- Prevención del robo de identidad: Un estudio de Javelin Strategy & Research estimó que el fraude de identidad afectó a 42 millones de personas en 2021 en los EE.UU.2
- Evitar acceso no autorizado: Según un informe de Verizon, el 80% de los ataques digitales involucran contraseñas débiles o robadas. Adoptar contraseñas seguras y únicas, así como la autenticación de dos factores, puede ayudar a prevenir el acceso no autorizado.3
Conceptos básicos
¿Qué cuentas en línea queremos proteger?
Lo primero a analizar sobre la seguridad de nuestras cuentas en línea es ¿de qué queremos proteger qué? o, dicho de otra manera, según mis actividades y el tipo de información que manejo cotidianamente, ¿dónde está la información sensible? y ¿cuáles son las amenazas para esa información? Cada persona tendrá un perfil de riesgo distinto. Antes de adoptar todas las medidas posibles, te recomendamos hacer una evaluación de riesgos para identificar en dónde será prioritario aplicarlas.
¿Qué amenazas acechan a nuestras cuentas en línea?
Desde Protege.la, el área de seguridad digital de SocialTIC compartimos una tipología de ataques digitales. La cual es un punto de partida para reconocer y describir los tipos de ataques digitales relevantes para activistas, personas defensoras de derechos humanos y periodistas. La tipología se divide en dos grandes categorías: vulneraciones técnicas y vulneraciones mediante conducta humana. Esta última se divide, a su vez, en dos sub categorías: indirectas y directas.
Los principales tipos de ataques técnicos que pueden afectar las cuentas en línea son el acceso no autorizado o el phishing. También se pueden presentar ataques de conducta humana. Como ataque directo puede presentarse la extorsión. Como ataques indirectos, pueden presentarse el doxing, la suplantación y robo de identidad y la vigilancia.
¿Qué hacer para proteger nuestras cuentas?
Una vez que conocemos nuestro perfil de riesgo y los ataques a los que somos vulnerables, es momento de decidir qué medidas de seguridad se pueden aplicar para prevenir y mitigarlos.
A continuación, encontrarás listadas una serie de recomendaciones.
⚠️ NOTA IMPORTANTE
Busca apoyo técnico y de confianza para implementar las medidas sugeridas. Escríbenos a seguridad@socialtic.org
Higiene digital
La higiene digital se refiere a las prácticas y hábitos que adoptamos para mantener un entorno seguro y saludable en el espacio digital.
Compartimentaliza4
Permite segmentar y aislar diferentes ámbitos de información, de manera que, en caso de un incidente o ataque, el daño se limite a una sección específica, preservando intacta la información en las demás áreas.
- Utiliza diferentes cuentas para diferentes actividades. Al menos separar lo personal de lo laboral, incluso lo personal de las actividades de activismo o defensoría de derechos humanos.
- Procura usar usernames diferentes entre las distintas plataformas, esto dificulta que tus adversarios puedan recopilar información tuya de diferentes fuentes con tan solo buscarte en diferentes plataformas con el mismo dato. Esta medida ayuda a protegerte del doxing y la vigilancia.
Administra los permisos de tus cuentas en línea
- Revisa y ajusta los permisos concedidos a otras personas para el acceso a determinados contenidos (posts, historias, archivos, historiales, etc.) para evitar que personas no autorizadas accedan o modifiquen información sensible.
- Ajusta la visibilidad de la información compartida en plataformas sociales (público, solo contactos, determinadas personas, etc.). Esto ayuda a controlar quién puede ver la información que se comparte, minimizando el riesgo de exposición a actores malintencionados que podrían utilizar la información en contra del titular de la cuenta o de las causas que defiende.
Limpieza y borrado de cuentas en línea
- Revisa qué cuentas en línea has dejado de usar y procura eliminarlas de forma segura; estas pueden ser una puerta de entrada para actores malintencionados si se comprometen ¿Cómo hacerlo de forma segura?
- Borra toda la información que compartiste, publicaste o depositaste en la plataforma. Esto ayuda a reducir la cantidad de datos que podrían ser mal utilizados debido a una filtración de datos en la que se identifique que los procedimientos de eliminación de la cuenta fue parcial o falsa.
- Desconecta las cuentas vinculadas. Esto minimiza el riesgo de que un compromiso en una plataforma se extienda a otras, protegiendo así la integridad de tus datos en otros servicios en línea.
- Cambia toda la información personal compartida por información falsa o inventada. Esto proporciona una capa adicional de protección, en caso de que el proceso de eliminación se retrase o no sea efectivo.
- Elimina el servicio. Es importante destacar que esto es diferente de simplemente desactivar la cuenta, ya que la desactivación generalmente mantiene intacta la información, haciéndola (en el mejor de los casos) invisible a las demás personas en la plataforma. Algunos servicios hacen difícil eliminar cuentas, en ese caso puedes apoyarte en Just Delete Me.
Gestionar identidad
- Utiliza alias o máscaras de email. Esto ayuda a reducir la exposición de la dirección de correo electrónico principal, minimizando los riesgos asociados con el spam, el phishing y el doxing.
- Usa direcciones de correo desechables. Son útiles para realizar acciones en línea que requieren una dirección de correo electrónico pero que no son críticas, como registrarse en una nueva plataforma para probarla.
- Evitar vincular cuentas pre-existentes. Esto ayuda a mantener separados los perfiles y las actividades en línea, reduciendo el riesgo de un compromiso en cadena donde el acceso no autorizado a una cuenta podría llevar a un acceso no autorizado a otras cuentas vinculadas o a su información.
Ante ataques técnicos
Implementar medidas de seguridad robustas es crucial para prevenir ataques técnicos como el acceso no autorizado y el phishing, que buscan explotar las vulnerabilidades en los sistemas y el desconocimiento o las emociones reactivas de las personas.
Adopta buenas prácticas con tus contraseñas
- Longitud Mínima de 16 Caracteres. Esto aumenta la complejidad y dificulta los intentos de adivinación o ataques de fuerza bruta.5
- Uso de frases aleatorias. Crea frases que se compongan de 4 a 6 palabras aleatorias6, añade algunos números y mayúsculas y sustituye los espacios entre las palabras por símbolos. Si utilizas palabras medio inventadas, mejor aún, ya que esto añade un nivel extra de dificultad para adivinar o descifrar la contraseña, pues no se encuentran en diccionarios. Algunos ejemplos seguros ¡No uses estos ejemplos! Son solo ilustrativos:
- Santa_Frio_7Ser_Pientes
- Murciégalos+Hantónimos=3Murcielónimos
- Renueva anualmente tus contraseñas. Esto reduce el riesgo a largo plazo, en caso de que una contraseña se haya visto comprometida sin tu conocimiento.
- Mantén tus contraseñas privadas y si necesitas compartirlas, utiliza canales y herramientas seguras.
- Usa un gestor de contraseñas para resguardarlas en un lugar seguro y crear contraseñas robustas sin tener que recordarlas todas.
- Evita pistas obvias. No utilices pistas de contraseña que faciliten a un adversario adivinar o probar múltiples contraseñas hasta dar con la correcta.
- Cuidado con las preguntas de seguridad:
- Trátalas como contraseñas, pues a menudo pueden usarse como sustituto de tu contraseña en caso de que la olvides o pierdas. En ese caso, cumplen la función de la contraseña: permitir el acceso a tu cuenta.
- Evita preguntas de seguridad predecibles (como el nombre de tu primera mascota o tu fecha de cumpleaños) ya que para un adversario podría ser más fácil responder estas preguntas que adivinar tu contraseña.
- Evita que las preguntas entre tus cuentas sean las mismas.
- Verifica la fortaleza de tus contraseñas. Puedes utilizar herramientas especializadas que recomendamos para verificarlo, como Internxt Password Checker.
- Revisa frecuentemente las filtraciones de datos: Evalúa que tus contraseñas y otros datos no se hayan filtrado en Internet debido a alguna brecha en las cuentas que usas, y si encuentras una cuenta tuya comprometida, cambia la contraseña de inmediato. Dependiendo de tu gestor de contraseñas, podrías recibir informes automáticos sobre la seguridad de estas.
Evita estas malas prácticas con contraseñas
- Evita reutilizar las contraseñas para minimizar el riesgo de compromiso en múltiples servicios en caso de una brecha de seguridad o incidente.
- Excluye información personal identificable o deducible en tus contraseñas, ya que esto podría facilitar la tarea de los atacantes que tienen conocimiento sobre ti.
- Almacenarlas en un lugar seguro. No guardes tus contraseñas en lugares como post-its, hojas de cálculo o libretas; en su lugar, utiliza gestores de contraseñas seguros que cifren tu información.
- Evita usar patrones predecibles en contraseñas, ya que los atacantes pueden identificarlos fácilmente. Un patrón muy conocido para cumplir con los requerimientos de seguridad de las contraseñas es del tipo: Contraseña123!. El patrón es sencillo: iniciar con una mayúscula, seguir con algunas minúsculas, incluir un número al final y terminar con un símbolo. Si tus contraseñas son así, nuestra recomendación es cambiarlas pronto.
Adopta la Autenticación de Dos Factores
Esta tecnología añade un segundo nivel de seguridad a tus cuentas. Tras ingresar tu email y contraseña, se te solicitará un código, el cual es aleatorio. En 2FA Directory puedes buscar si las cuentas que usas tienen esta opción. Te recomendamos activarla al menos en:
- Aplicaciones de mensajería instantánea
- Redes sociales
- Correo electrónico
- Almacenamiento en la nube
Por otra parte, hay varias formas de recibir el código:
- SMS o llamada telefónica, no recomendados por la posibilidad de interceptación relativamente fácil;
- Correo electrónico, aunque mejor que los SMS, pueden ser interceptados o comprometidos más fácilmente que otros métodos de 2FA;
- A través de una aplicación dedicada o llave física es nuestra mayor recomendación, pues no requieren acceso a Internet, no revelan información personal y ofrecen protección superior ante phishing.
- Resguarda tus códigos de recuperación en un lugar seguro y accesible solo para ti, ya que pueden ser vitales si pierdes acceso a tu método de 2FA. Estos códigos son tu salvavidas en caso de que tu dispositivo de 2FA se pierda o se dañe, permitiéndote acceder a tus cuentas y actualizar tus opciones de 2FA.
Ante el phishing
El phishing es uno de los ataques más comunes y efectivos hacia las cuentas en línea. Este ataque permite robar información que puede ser utilizada para accesos no autorizados, como usuarios, contraseñas o datos de recuperación como las preguntas de seguridad.
- Sospecha de cualquier mensaje inesperados o que despierte cualquier sentido de urgencia (promociones o que supuestamente hay un problema de seguridad con alguna de tus cuentas)
- No reacciones. Al evitar hacer clic en enlaces o descargar adjuntos, reduces el riesgo de caer en trampas de phishing.
- Verifica. Puedes comunicarte a través de otro canal con la plataforma, servicio, o persona para verificar la información que te llegó proviene de la fuente real.
- Nunca entregues tus contraseñas, códigos de verificación o datos personales. Los agentes legítimos de soporte nunca te pedirán contraseñas o códigos de verificación, ya que poseen los medios necesarios para resolver problemas sin necesidad de esta información.
Ante ataques de conducta humana indirecta
Doxing; suplantación y robo de identidad, y vigilancia
- Limita la exposición social de tus datos públicamente y configura adecuadamente la visibilidad tanto externa como interna en las plataformas que uses. Ten en cuenta lo siguiente:
- Fotos de perfil: Opta por imágenes genéricas o avatares para evitar suplantaciones de identidad en plataformas.
- Localización: Evita compartir tu ubicación manualmente o publicar visitas a lugares específicos que puedan revelar tu localización. Además, es prudente evitar compartir fotos que muestren o permitan deducir ubicaciones críticas como tu casa, oficina, o lugares de trabajo de campo.
- Información laboral: Evita compartir detalles como tu identificación laboral o información sobre viajes pues pueden ser aprovechados en ataques digitales.
- Compartir información de otras personas: Sé consciente de que al compartir fotos o información de otros, también puedes afectar su privacidad y seguridad.
- Configuración de privacidad. Asegura que tus configuraciones de privacidad estén ajustadas para limitar quién puede ver qué información en tus cuentas.
- Alertas y Revisión de Sesiones: Activa alertas para inicios de sesión sospechosos, revisa periódicamente las sesiones activas y mantiene un número mínimo de sesiones activas en tus dispositivos habituales. Consulta guías de configuración de privacidad para ajustar adecuadamente las configuraciones en Facebook, Instagram y Twitter.
- Evalúa la confianza en las plataformas. Revisa y comprende la confiabilidad de las principales plataformas que utilizas, basándote en los siguientes aspectos:
- Familiarízate con los términos de servicio para entender las obligaciones y derechos tanto de la plataforma como tuyos. Puedes usar tos;dr para ver los aspectos más relevantes.
- Conoce qué datos recopila la plataforma, cómo los obtiene y qué puede hacer con ellos para asegurar que estás de acuerdo con sus prácticas.
- Investiga antecedentes de brechas de seguridad y filtraciones para evaluar la transparencia y la eficacia de las medidas de seguridad de la plataforma. Puedes apoyarte en Have I Been Pwned.
⚠️ NOTA IMPORTANTE
Busca apoyo técnico y de confianza para implementar las medidas sugeridas. Escríbenos a seguridad@socialtic.org
Siguientes pasos
Para continuar fortaleciendo tu seguridad digital, considera herramientas adecuadas que te ayuden a proteger los diferentes ámbitos críticos.
Para responder de manera efectiva ante cualquier incidente de seguridad que pueda presentarse
Este material ha sido posible gracias al apoyo del pueblo de los Estados Unidos de América a través de la Agencia de los Estados Unidos para el Desarrollo Internacional (USAID). El contenido de este material es responsabilidad única de SocialTIC y no refleja necesariamente los puntos de vista de USAID o los del Gobierno de los Estados Unidos.
- – 2019 Data Breaches: 4 Billion Records Breached So Far | Norton.
– 25 data security stats that matter | TechBeacon. - Identity Fraud Losses Total $52 Billion in 2021, Impacting 42 Million U.S. Adults.
- Over 80 Percent of Hacking Related Breaches Were Related to Password Issues: Cybersecurity Trends – CloudNine.
- El concepto se refiere al hábito de tener separados en “compartimentos” las actividades, dispositivos e información. Un ejemplo es tener un dispositivo (o cuenta personal o usuario) para el trabajo y otro para actividades personales.
- La longitud de una contraseña es más determinante para su fortaleza que la complejidad debido al aumento exponencial de posibilidades que introduce. Por ejemplo, una contraseña de 12 caracteres tiene muchas más combinaciones posibles que una de 6 caracteres, incluso si la más corta utiliza una mezcla de tipos de caracteres. Los atacantes a menudo utilizan ataques de fuerza bruta o diccionarios de contraseñas comunes, y una contraseña más larga requiere más tiempo y recursos para ser adivinada en estos escenarios.
- Utilizar palabras aleatorias en un «passphrase» (frase de contraseña) ayuda a crear una contraseña fuerte y difícil de adivinar. Los atacantes a menudo utilizan diccionarios de palabras comunes, nombres, fechas importantes, etc., en sus intentos de adivinación. Una combinación aleatoria de palabras, especialmente si incluyen letras mayúsculas y minúsculas, números y símbolos, proporciona una mayor complejidad y resistencia frente a estos métodos de ataque, haciendo que la adivinación o el desciframiento sean significativamente más difíciles.