Últimamente se hace muy frecuente escuchar esta afirmación, sobre todo de figuras publicas, ahora, ¿qué tan fácil puede resultar esto? ¿Es verdad que organismos del estado tienen esta facilidad? ¿Como podría protegerme ante esta amenaza?
Si una persona con los conocimientos apropiados decidiera logra este objetivo, tendrían que darse una serie de factores a su favor y tal vez un poco de “complicidad por ignorancia” por parte de la victima para poder terminar con éxito dicha tarea. Existen tácticas muy variadas que serian utilizadas para consumar el hecho, algunas de ellas de carácter técnico, con niveles de complejidad que van desde medio hasta altos conocimientos y otras de carácter no técnico que involucran técnicas de ingeniería social mayormente llamada la técnica del engaño.
Existen muchas formas de lograr el acceso no autorizado a una identidad digital (cuentas de correo electrónico, credenciales de redes sociales, credenciales de aplicaciones como internet banking, entre otras),anteriormente se utilizaban métodos de explotación de vulnerabilidades de la plataforma que aloja la identidad de la victima, sin embargo, con el tiempo esta parte se ha hecho mas difícil, sobre todo en los llamados empresas que gestionan estas plataformas hacen cada día mas esfuerzos por aumentar la seguridad de estas, reducir el tiempo entre la detección de un “hoyo” y su cierre antes de que tenga un impacto negativo en sus usuarios.
Entonces podríamos decir que nos quedan dos vías donde se tienen mas probabilidades, sin embargo una de ellas requiere acceso al equipo, ya sea local o remoto, con el fin de instalar aplicaciones de espionaje como keyloggers, cuya función es registrar todas las teclas que se presionen en el equipo y almacenarlas en un archivo, o aplicaciones de monitoreo, los cuales toman fotográficas de toda la actividad del equipo y capturan algunas de sus funciones. La segunda via alterna es el uso de la ingeniería social, por elcual se utilizan medios de engaños haciéndole creer a la victima que necesita digitar su contraseña, en cuyo caso crean un ambiente virtual exactamente igual al que aloja la identidad digital, con el fin de que el usuario crea que esta digitando su contraseña en el la página de inicio de esta plataforma, estos sitios falsos hacen la función de recopilador, al usuario digitar la contraseña muestra un error y redirecciona al usuario al sitio real mientras el usuario y contraseña han sido capturados por una bases de datos. Muchos de estos engaños se realizan enviando enlaces a direcciones que puedan ser de interés de la victima, por ejemplo tarjetas digitales, pero su éxito depende de que el usuario muerda o no el anzuelo, lo cual es muy frecuente para usuarios que muchas veces no tienen un dominio técnico del entorno.
Las técnicas anteriores son utilizadas para robar contraseñas, el cual es un mecanismo que suele ser mas efectivo debido a que el usuario posiblemente nunca se de cuenta de que alguien accede a su correo junto con el, ya que el intruso se queda silente y no causa ninguna acción que permita sospechar del acceso ilícito.
En una ultima instancia esta el reinicio de contraseña, esto con el fin de apoderarse de la cuenta. Para ello se utilizan los pasos de recuperación de contraseñas del servicio que aloja la cuenta, para ello es necesario conocer a la persona para suponer algunas de sus respuestas, sin embargo estas técnicas han perdido fuerza debido a los cambios incorporados por los gestores de estas plataformas a este proceso, involucrando contacto con el propietario de la cuenta por vías alternas, ya sea SMS o cuentas alternativas de correo.
Que podemos hacer para protegernos?
Ninguna técnica es infalible, si el atacante es persistente, tiene conocimientos y se toma todo el tiempo que requiera, sin embargo podemos reducir sus posibilidades al mínimo utilizando una serie de pautas orientadas a proteger nuestras identidades electrónicas y nuestros equipos:
Proteger nuestros equipos con aplicaciones de seguridad como antivirus y aplicaciones de detección de intrusos.
Utilizar contraseñas conformadas por frases e involucrar números y/o caracteres especiales en ella, por ejemplo: “Yo solosequenosenad@!”
No utilizar la misma clave para nuestrasidentidades electrónicas
Cambiarlas cada cierto tiempo, ejemplo: cada 60 días
Estar alerta de los correos y mensajes que recibimos y que nos redireccionan a enlaces fuera de la plataformas, es preferibles cortar y pegarlos en la barra de dirección, antes que entrar directamente a estos.
Confirmar siempre la dirección de Internet donde estamos escribiendo nuestras credenciales, regularmente estas direcciones tienen un candadito en la barra de direcciones de nuestro navegador que indica a quien corresponde tal dirección, podemos siempre confirmar esta información haciendo clic en este y seleccionando la opción de “ver certificado”. En muchos casos esta barra muestra el nombre de la organización dueña de la dirección, por lo cual podemos confirmar que estamos en el sitio correcto.
Mantenerse informados de avisos de seguridad en las plataformas donde poseemos identidades a fin de poder actuar en casos necesarios. En todo caso, estos avisos nunca llegan por correo, sino que son hechos por medios noticiosos con credibilidad.
Ser cuidadosos de las redes que utilizamos para acceder a nuestros servicios, ya que muchas redes publicas abiertas pueden tener interceptores de trafico y capturar nuestros usuarios y contraseñas mientras estas pasan por sus medios.
Usar respuestas distorsionadas a nuestras preguntas de recuperación, Ej. Primera Mascota: Josefina la Ballena.
Rezar para que no nos pase…
¿Pueden los organismos de seguridad de estado intervenir nuestras cuentas?
Esta pregunta es fruto de calurosos debates, la respuesta es Si a medias, ya que estos organismos pueden disponer de información de accesos a esas identidades para determinar los lugares desde donde se acceden sin embargo para obtener sus contenidos, en el caso de correo electrónico, se requiere un proceso legal largo y complicado a fin de que las empresas entreguen dicho contenido a una autoridad judicial, estos procesos están reservados para casos de terrorismo y asesinatos, siempre cumpliendo con los protocolos legales que garanticen los derechos del dueño de la cuenta a su privacidad. Podríamos decir que la intervención de identidades electrónicas para un organismo investigativo no resulta tan fácil como intervenir un teléfono debido a la implicación de legislaciones nacionales, internacionales y empresas que están reguladas por leyes estrictas en cuanto a la privacidad de la información en sus países de origen, por lo cual aplican todo el celo de rigor a dicha información.
En conclusión, las posibilidades de que nos sea robada una o varias de nuestras identidades electrónicas es un riesgo latente, esta en nuestras manos el reducir esa posibilidad.