Usa una contraseña larga con letras, números y signos. No uses tu nombre, ni la fecha de tu cumpleaños. Tampoco uses la misma contraseña para todo. Estos consejos, que se toman como el Santo Grial en la lucha contra los ciberdelincuentes sólo nos defienden en realidad ante ataques por fuerza bruta —realizar muchos intentos de inicio de sesión— o los intentos más evidentes de ingeniería social.
Varios ejemplos
La ingeniería social es la técnica que usan los ciberdelincuentes para acceder a nuestra información y datos de inicio de sesión explotando el eslabón más débil de la cadena: nosotros, los usuarios. Porque cuando se habla de "hackeos" se suele hablar en realidad de delincuentes que acceden a los datos de los usuarios mediante engaños, no códigos maestros metidos en una terminal a lo CSI en dos o tres segundos.
Pasó en 2014, con la famosa filtración de fotos de famosas. Se descartó, pese al pánico inicial, que los hackers comprometiesen los servidores de Dropbox o iCloud. Fueron los afectados quienes, sin darse cuenta, facilitaron su email y contraseña para iniciar sesión. Esta técnica se conoce como "phishing" y consiste en replicar el formulario de acceso sin que el usuario perciba la trampa. Y cada vez son más elaborados los intentos porque cada vez es más jugosa, para los delincuentes, la información que guardamos en nuestros correos y redes sociales.
El año pasado, un usuario del Reddit detectó un email que procedía de una cuenta que conocía y que enlazaba a un Google Doc. Al entrar se detectaban las cuentas que él mismo usa en la suite de ofimática al solicitar acceso a ellas. En el botón de dar permisos se detecta la trampa: no lo pide Google, sino una externa usada para comprometer las direcciones de email. Lo peliagudo del asunto es que de esta forma se salta la autenticación en dos pasos y puede acceder a todas las cuentas de Gmail para seguir robando información y aumentar su red de spam.
Google lo resolvió en apenas minutos. Pero, ¿qué hubiese pasado en un servicio de una compañía más pequeña? Lo más seguro es que nadie se diese cuenta hasta varias horas o días más tarde. Es preocupante y el único remedio que existe es la prevención.
Establecer contraseñas únicas y seguras ayuda. Usar tu número de teléfono como verificador en dos pasos ayuda todavía más. Pero revisar cada email sospechoso que recibamos y el permiso que damos a las aplicaciones a acceder a nuestros correos y redes sociales es más importante que nunca.
Dar permisos no es como una hoja de condiciones y términos legales que siempre acostumbramos a ignorar. Es importante conocer a qué se da permiso y por qué. Cada aplicación a la que demos permiso es una puerta más por donde los delincuentes se pueden colar.
En Genbeta | Aprende a crear contraseñas fuertes gracias a esta herramienta gratuita