2 recientes reportes demuestran que los usuarios no sólo no aprendemos sino nuestras actividades en línea son cada vez más irresponsables en materia de seguridad informática.
1. EL PHISHING SIGUE VIVO
El primero de ellos es un estudio realizado por Google y la Universidad de California que ha encontrado que, a pesar de las miles de advertencias, un número importante de usuarios siguen cayendo en las trampas del llamado phishing. El phishing, por si no lo tiene claro, es una práctica por medio de la cual el usuario es llevado a un sitio web falso, que imita a un servicio legal, por medio de links enviados por correo, mensajes instantáneos o incluso mensajes de redes sociales. Una vez en el sitio, el usuario introduce sus credenciales de acceso las cuales son copiadas y utilizadas para robar al individuo o suplantar su identidad.
El estudio encontró que en promedio el 14% de los ataques vía phishing son efectivos y que en algunos casos en los que los sitios web falsos son tan bien diseñados que parecen reales, el número de usuarios que entrega su información puede llegar al 45%! Imagínese que casi la mitad de los usuarios que reciben un mensaje invitándolos a ir a un link y meter sus credenciales aún lo hacen. Los ataques tipo phishing, que en algún momento estuvieron muy concentrados en llevar a los usuarios a sitios de entidades financieras, ahora incluyen sitios de correo electrónico, redes sociales y almacenamiento en la nube en donde los maleantes pueden hacer algo de “ingeniería” para obtener información con los cuales acceder a sus servicios financieros.
Pueden ver los resultados del estudio en este link.
Recomendaciones: A menos que usted lo haya solicitado (por ejemplo para restaurar un password) no utilice links que vienen en mensajes para ir a los sitios web de los servicios que utiliza. Siempre escriba usted mismo las direcciones url. Y en la medida en que su servicio lo tenga disponible utilice la opción de Seguridad en 2 Pasos.
2. EL PASSWORD DE FÁBRICA
El segundo tiene que ver con la pereza de cambiar los passwords que vienen programados de fábrica. En un momento en el que estamos empezando a conectar millones de nuevos dispositivos a la red (dispositivos que van desde routers y cámaras de seguridad hasta neveras y hornos, pasando por routers, chapas y hasta monitores de bebé), es increíble pensar que la mayoría de nosotros no actualizamos los passwords que por defecto traen los dispositivos.
El ejemplo más claro, y aberrante, es el evidenciado por el equipo de Sophos, una compañía de seguridad informática que encontró un sitio web llamado Insecam.com, en el cual es posible ver el feed de más de 11mil cámaras de seguridad ubicadas alrededor del mundo y las cuales utilizan el password genérico provisto por el fabricante.
Estados Unidos, Corea del Sur y China lideran los países donde el sitio ha encontrado cámaras vulnerables y en América Latina es posible ver feeds de casi todos los países con México y Colombia punteando en el número de cámaras conectadas con 2380 y 2072 cámaras respectivamente. Estas son cámaras ubicadas en locales comerciales, oficinas, edificios y hasta dentro de hogares y cuyos dueños o administradores no saben que su contenido está siendo visto por cualquier persona que entre al sitio web.
Lo peor de todo es que el sitio muestra no sólo el feed y el password sino la ubicación de la cámara.
Recomendaciones: No es sólo ponerle un password a su smartphone (sabían que más del 30% no le tiene ningún tipo de control de acceso a los dispositivos móviles?) y actualizarlo constantemente. No es sólo evitar usar el mismo password para todos sus servicios. Es necesario caer en cuenta que cada día tenemos más dispositivos que se conectan a internet y que cada uno de ellos tiene un password, el cual deberíamos cambiar y no dejar el que viene de fábrica.
Artículos Relacionados: De P4assw0rds y Otros Males Necesarios