Mi columna en Invertia de esta semana se titula «El desastroso estado de la ciberseguridad» (pdf), e intenta esclarecer las causas por las que no hemos sido capaces, como sociedad, de establecer una cultura de ciberseguridad mínimamente razonable.
Obviamente, la ciberseguridad es una cuestión que evoluciona a gran velocidad y en la que todo experto conoce perfectamente los retos para simplemente mantenerse al día: es un poco como la famosa imagen de la reina roja de Alicia, corriendo a toda velocidad para poder mantenerse en el mismo sitio. Pero de ahí al desastre de las prácticas habituales de la mayoría de los usuarios, que los ubican en disposición de preguntarse no si van a tener un problema, sino simplemente cuándo, va un gran trecho.
De ahí que el pasado mes de noviembre, como consecuencia del que ya se considera el mayor ciberataque a la infraestructura estadounidense en toda su historia, Salt Typhoon, en el que los delincuentes aparentemente extrajeron datos de las redes de AT&T y Verizon al lograr reconfigurar los routers Cisco para acceder a ciertas personas definidas como «de alto valor», la Cybersecurity and Infrastructure Security Agency (CISA), la National Security Agency (NSA) y el FBI emitiesen una guía conjunta con recomendaciones destinadas a ayudar a proteger a los ciudadanos estadounidenses. Las compañías de telecomunicaciones afectadas, aparentemente, no pensaron que era importante informar a los usuarios afectados.
Una de las recomendaciones contenidas en esa guía es la de utilizar preferentemente en las comunicaciones el cifrado de extremo a extremo (end-to-end encryption, o E2EE), disponible por defecto en herramientas como Signal o WhatsApp (que hace uso del protocolo de cifrado desarrollado por la primera). Resulta como mínimo curioso ver a agencias gubernamentales recomendar a la población el uso de un protocolo de comunicaciones que pone prácticamente fuera de su alcance la posibilidad de interceptar esas comunicaciones, y evoca un poco episodios pasados en los que jueces ignorantes en Brasil o en España amenazaban a compañías por no facilitar el descifrado de conversaciones de imputados que esas compañías, simplemente, no podían llevar a cabo desde un punto de vista estrictamente técnico.
En el caso del iMessage de Apple, es un poco más complicado, porque cuando tienes un iPhone, sustituye al uso del SMS y MMS y aplica el cifrado de extremo a extremo, pero únicamente cuando el mensaje va dirigido a un usuario que tiene otro iPhone, mientras que lo hace sin cifrar si es enviado a alguien que no lo tiene.
Pero el uso del cifrado extremo a extremo es solo una de muchas recomendaciones mínimas para obtener una cierta paz mental en el uso de una herramienta ya tan utilizada como la red. Si nuestros padres hubiesen hecho con nosotros un trabajo tan malo a la hora de explicarnos los peligros de caminar por la ciudad como el que la sociedad ha hecho para explicar el funcionamiento y los peligros de la red, habríamos muerto todos atropellados.
Tristemente, las prácticas de ciberseguridad de la mayoría de los usuarios son tan desastrosas, que los exponen a todo tipo de problemas que van desde robos de información y estafas, hasta chantajes y timos. La absurda y destructiva idea de «total no soy importante, no tengo nada que ocultar ni nada que proteger» hace que muchos renuncien a un nivel de protección mínimo que resulta cada vez más necesario.
La mayoría de las contraseñas aún son no solo absurdamente simples, sino en muchísimos casos, compartidas entre todo tipo de servicios y, en muchos casos, ya publicadas. Los gestores de contraseñas son utilizados por muy pocos, como lo es el doble factor de autenticación, que únicamente supone una mínima incomodidad a la hora de entrar en algunos servicios. Los bloqueadores de publicidad, cuyo uso ya fue recomendado por el propio FBI hace tiempo, son muy poco utilizados, y los que los usan no lo hacen pensando en su ciberseguridad, sino simplemente en quitarse de encima una molestia. Y las redes WiFi públicas en hoteles , aeropuertos y lugares de todo tipo se utilizan sin la menor precaución y sin plantearse siquiera el uso de una red privada virtual o VPN. Que sí, que son herramientas que valen dinero, pero de verdad que es dinero bien invertido.
Se trata, simplemente, de disciplinarse mínimamente para utilizar unas herramientas que se han convertido en fundamentales para evitarnos problemas, y que si bien no aseguran que no seamos objeto de los delincuentes, sí lo dificultan bastante y lo hacen bastante menos probable. Si las instituciones educativas no proporcionan ese mínimo de formación y prefieren darse a la comodidad absoluta que supone prohibir y renunciar a educar, tendremos que aprender por nosotros mismos. Pero hagámoslo, que es importante.
This article is also available in English on my Medium page, «Sure, keeping up with cybersecurity can seem like a mad race, but it’s easier than you think«
Doy fé porque me pasó la semana pasada, que me llegó un código de recuperación a mi teléfono para inicial la recuperación de la contraseña de «X» servicio».
Obviamente no había sido yo quien inició esa recuperación, así que lo ignoré, pero entendí que hice bien en configurar el 2FA en esa cuenta.
Caballeros: siempre seremos alguien importante para un «tercero» con la motivación e incentivos adecuados.
Dicho eso, lo debo tener tan internalizado el tema de la seguridad, que ayer Chat GPT cerró mi sesión, y me pidió que la volviera a abrir, avisándome que me mandó un código a mi mail, y en el mismo correo en el que me mandaba el código me avisaba que abriera la aplicación de 2FA de mi teléfono para validar el ingreso desde mi teléfono.
No recordaba que lo había configurado de esa manera, pero efectivamente lo hice. Me tomó varios pasos más que lo habitual, lo que lo hizo «incómodo», pero después de haber seguido el proceso, me alegré de saber que si alguien lo intentara (en cualquiera de mis servicios), lo tendría, no digo «muy», pero razonablemente complicado.
Vaya, que en tres puntos:
1) VPN para comunicaciones cifradas
2) Gestor de passwords para passwords difíciles y diferentes para cada servicio
3) Factor de doble autentificación para redoblar seguridad
Me dejo alguno?
Me contesto yo mismo: Ad-blocker y borrador de cookies… Eso lo lleva por defecto Brave?