Cita

"Those who are willing to pay a penny of security for a penny of usability will eventually have neither"

09 mayo 2014

Cuidado con los correos aunque sean de tus amigos


Hoy vamos a bajar un poquito el nivel (bueno, el mío tampoco es tan alto) y hacer una entrada para usuarios no técnicos, para ayudarles a afrontar y prevenir algunos problemas relacionados con el robo de contraseñas de correo y el envío de mensajes fraudulentos.

Ayer me llegó el siguiente correo de una amiga:

"He subido un documento importante ENTRA AQUÍ haga clic en el signo en el icono y accede con tu respectivamente correo electrónico para ver .."

Estaba claro que no era ella, así es que le avisé de que le habían robado la contraseña. Lamentablemente, el correo llegó a más gente y hubo quien picó, con lo cual, su cuenta también fue comprometida y se repitió el envío. Esto puede dar lugar a una reacción en cadena (esperemos que no). Para evitar este tipo de cosas, vamos a explicar: 

Cómo distinguir un correo fraudulento:

Aunque venga de un amigo, no tiene por qué ser él, le han podido robar la cuenta. Suelen estar redactados en un pésimo español: mezclando el usted ("haga") y el tú ("accede"), frases mal construídas ("tu respectivamente correo"), etc. Pero, aunque esté bien escrito, pregúntate: ¿estaba esperando el correo? ¿de qué trata? Si te llega un correo que no esperabas, con un texto tan genérico (a parte de mal redactado) como el del ejemplo, bien puede tratarse de un impostor. Para estar seguro de que es tú amigo, debería de hacer referencia cosas que un desconocido no pueda saber. Ante la duda, preguntale (por teléfono). 
Y, sobre todo, NO HAGAS CLICK EN NINGÚN ENLACE (el del ejemplo lo he puesto en rojo y tachado para que se grabe la idea, pero no vendrá tachado). Puede traer bicho. Aunque lo más probable es que se trate de un ataque de Phishing, con el que quieren robarnos las contraseñas del correo (ojo, a veces también se hacen pasar por bancos para robarnos las credenciales bancarias). 

En el ejemplo, si haces click, te piden que, parar ver el "documento", introduzcas tu usuario y contraseña de correo. NO LO HAGAS: se las estarás dando a los malos, que podrán leer tu correo y mandar correos en tu nombre.


¿Cómo saber si alguien ha entrado en mi correo?

En el caso de Gmail, una vez dentro, se puede ver en la esquina inferior derecha, donde dice "Última actividad de la cuenta: hace...". Si, por ejemplo, pone "3 horas" y tú no entraste desde ayer, está claro que alguien se ha colado después. Si pinchas en "Información detallada" verás un resumen de la "Actividad de la cuenta" con las últimas conexiones: a qué horas, desde que sitio (país e IP) y hasta desde qué navegador y si era con un móvil. En el caso de mi amiga, así averiguamos que el individuo que estaba intentando hackearnos a todos se conectó desde Nigeria.

Me han robado la contraseña de correo. ¿Qué hago?:

Lo primero, cambiarla. En gmail, pincha arriba, a la derecha, en el circulo (donde suele aparecer nuestra foto o una silueta); luego en "Cuenta"; después en "Seguridad", "Cambiar contraseña". 
Pon una que sea segura (click aquí para consejos). Activa la verificación en dos pasos (click aquí para ver cómo). Estos dos consejos también sirven para proteger el acceso a tu cuenta, aunque no te la hayan robado.

Avisa a tus contactos de que te han hackeado. Es lo que hizo mi amiga en cuanto se enteró, envitándo, probablemente, un problema en cadena. Si, como en el ejemplo, el ladrón se ha dedicado a mandarles correos para que piquen (puede que estén aún en la carpeta de "enviados"), qué menos que advertirles. 


Si usas la misma contraseña en otros sitios, cámbiala allí también. Por cierto: mal hecho, no se debe usar la misma contraseña en varios sitios (sí, ya sé que es un rollo tener varias). O, al menos, no la misma en un sitio muy importante y en otro facilmente expuesto. Si usabas la misma contraseña para cosas del trabajo o para el banco, CÁMBIALA YA. El que te robó la contraseña puede que no sepa que tienes acceso a esos sitios, pero es mejor no arriesgarse. Ten en cuenta que, tanto si es una persona como un "bicho" automático, puede encontrar en tus correos información sobre a qué sitios te conectas. Con relación a eso, considera el punto siguiente:

Haz un análisis detallado de a qué cosas puede tener acceso alguien que hay entrado en tu correo. Aquí, cada uno sabrá. Pero piensa que puede haber muchas cosas sincronizadas con el correo eléctrónico: drive/dropbox, facebook... Además de las cosas que te llegan a él (¿información confidencial?, ¿documentos del trabajo?, ¿recibos del banco?). Todo eso ha podido ser comprometido (y lo pagan bien). Que no cunda el pánico, pero revisa bien y no te duermas. Puedes mirar este enlace (en inglés) para hacerte una idea. 

Cómo evitar que te hackeen el correo:

Pon una contraseña segura (click aquí para consejos). Activa la verificación en dos pasos (click aquí para ver cómo). No entres a mirarlo desde un PC (público) o conectándote a una WiFi pública. Cierra siempre la sesión cuando termines: haciendo click en "Cerrar sesión", no dándole a la crucita de arriba a la derecha. Mantén tu PC libre de bichos (eso da para otra entrada), porque si no, puedes tener instalado un keylogger que se queda con las teclas que pulsas y, por tanto, con la contraseña.



Mantén una cultura de seguridad:

Ya sé que esto de la seguridad es un rollo y parece cosa de frickies, pero luego pasa lo que pasa. (Ha pasado ya).
Una buena manera de empezar es leyendo cosas que hay publicadas para usuarios no técnicos. Por ejemplo:
- Te puedes hasta descargar su libro: http://elblogdeangelucho.com/elblogdeangelucho/el-libro/
- La Oficina de Seguridad del Internauta del INTECO: http://www.osi.es/

Apúntate a las jornadas X1RedMásSegura: charlas y talleres de seguridad para todos (padres, hijos, abuelos, empresarios...). Empezaron ayer, pero aún estás a tiempo: duran hasta el día 17. Y son gratis. Organizadas por profesionales que dan generosamente de su tiempo para "difundir seguridad en Internet a quien lo necesita, a los usuarios no técnicos o menos informados".
Tienes toda la información aquí: http://www.x1redmassegura.com/

Sobre todo, recuerda que, como dice el gran Angelucho: "nosotros somos nuestra mayor vulnerabilidad, pero también somos nuestro mejor antivirus".

No hay comentarios:

Publicar un comentario

A penny for your thoughts