Actualidad

“La cadena es tan fuerte como el eslabón más débil”: apuntes de un taller sobre seguridad digital para periodistas

Por ~ Publicado el 1 junio 2018

El jueves 31 de mayo, la Red de Periodistas Chile realizó el primero de una serie de talleres sobre seguridad digital para periodistas, dictados por expertos de la ONG Derechos Digitales. El venezolano Carlos Guerra, entrenador en temas de seguridad digital y Ford-Mozilla Open Web Fellow, fue el encargado de dirigir la actividad. Estos son algunos apuntes de lo que ahí se expuso.

Carlos Guerra junto a algunos participantes del taller de seguridad digital para periodistas. Foto: Patricio Contreras

Carlos Guerra junto a algunos participantes del taller de seguridad digital para periodistas. Foto: Patricio Contreras

El taller arranca con algunas premisas de la seguridad de la información: no existe la seguridad total; eventualmente, todo puede ser intervenido; el mundo de la seguridad de la información cambia y muy rápido; el foco de la seguridad debe estar en las prácticas, no en las herramientas; y, a veces, por querer ser más seguros podemos llamar más la atención y convertirnos en blancos.

La premisa que da el título a este artículo —”la cadena es tan fuerte como el eslabón más débil”— refiere a que un sistema (una sala de redacción, por ejemplo) puede ser muy seguro, pero si falla una de las partes (un periodista descuidado, por ejemplo), esa seguridad se rompe.

Carlos Guerra explica algunas de estas premisas con un ejemplo. Ocho participantes del taller pasan adelante. Él les entrega una hoja que representa un eslabón de la cadena que conecta a una computadora con un celular. Es decir, el paso a paso de cómo funciona internet. Entonces, en orden lineal, si enviamos un correo por Gmail tenemos la siguiente cadena:

Computadora > Router wi-fi > Módem proveedor A de internet > Servidores proveedor A de internet > Servidores de Google > Servidores de proveedor B de internet > Antenas de proveedor B de internet > Dispositivo móvil

Lo importante: en cada uno de estas etapas puede haber vulnerabilidades. “Desde Snowden —explica Carlos— se han tomado muchas medidas para proteger la información”. Especialmente a nivel de servidores. Por eso, hoy el nuevo objetivo de “los malos” somos nosotros, los usuarios.

¿Cómo? Por medio de engaños. Por ejemplo, el phishing (pescar), práctica que, por medio de enlaces maliciosos (“haga click aquí para tal y tal”), busca robar información, infectar nuestros equipos con malware o que ejecutemos una acción indeseada. El phishing aparece en correos electrónicos, páginas web, mensajería de texto y telefonía.

Quienes atacan con esta técnica se valen de:

  • El miedo o la urgencia: te dicen que secuestraron a alguien y debes hacer click en un enlace para saber más
  • La curiosidad: se hacen pasar por un amigo y te invitan a abrir un archivo
  • La autoridad: te llega una citación judicial ineludible que debes descargar
  • La exclusividad o los premios: ganaste algo, presiona en el enlace

Carlos sugiere poner atención en algunos aspectos para detectar el phishing: los errores ortográficos, de redacción o el tono robótico —sospechoso— de la escritura; las URL (que pueden tener pequeños cambios: “Twiter” por “Twitter”); el falso sentido de urgencia o los archivos adjuntos sospechosos.

ESTRATEGIAS PARA ENFRENTAR EL PHISHING

1. Autenticación de dos pasos. El modo tradicional de ingresar a un servicio como correo electrónico o una red social: escribo mi contraseña y listo. Si alguien obtiene esa clave, estamos en problemas. La autenticación en dos pasos combina algo que sé (la contraseña) con algo que tengo (el teléfono). Con las dos cosas juntas puedo acceder al servicio de forma más segura.

Por ejemplo, al activar esta opción para tu cuenta de Google, si intentas acceder desde un equipo distinto llegará a tu teléfono un mensaje de texto con un código adicional de seguridad. Esta característica también funciona con los token (dispositivos usados en bancos, por ejemplo), con biometría (si tu teléfono tiene un lector de huella) o localización (estás en un lugar en específico).

Algunos servicios que cuentan con la autenticación en dos pasos: Google, WordPress, DropBox, Amazon, Outlook. Revisa esta lista para ver otros servicios.

2. Contraseñas seguras. Una prevención: tener contraseñas seguras requiere trabajo, disciplina y estar siempre atentos. Qué recomiendan en Derechos Digitales:

  • Ocupar distintos caracteres (números, letras, símbolos)
  • Longitud: que sean largas, más de 8 dígitos
  • Evitar lo predecible
  • No repetir contraseñas
  • Tener buenas respuestas de seguridad
  • Una cuenta de correo de recuperación que sea segura
  • Cambiar periódicamente
  • No dejar copias físicas accesibles

Una estrategia que Carlos Guerra sugiere es el uso de una passphrase; es decir, una frase que solo tú recuerdas que se convierte en contraseña. Por ejemplo: eneltallerdeseguridadaprendiausarunapassphrase. Esta frase se puede complejizar incorporando símbolos y números: enelt5llerdes3guridad,aprend6ausarunapassphr453

Un problema práctico es que hoy tenemos demasiadas contraseñas como para recordarlas todas. Una posible solución son los administradores de contraseñas: un servicio que “almacena” tus claves —con los riesgos que eso implica— y te exige solamente recordar una clave única. Carlos menciona tres servicios que hacen esto: Lastpass, Keepass o 1password.

Este taller finalizó constatando un hecho: estas dos estrategias son sólo la punta del iceberg de la seguridad digital.

Foto: Patricio Contreras

Foto: Patricio Contreras

#Etiquetas:

Comentarios.