Defensa contra las Artes Oscuras Digitales: Lecciones de Ciberseguridad
En esta clase, estudiamos las Artes Oscuras Digitales.
Son "muchas, variadas, cambiantes y [aparentemente] eternas. Combatirlas es como luchar contra un monstruo de muchas cabezas que, cada vez que se le corta una cabeza, brota una cabeza aún más feroz e inteligente que antes. Estás luchando contra lo que es inmutable, mutante, indestructible".
Hoy, si elige prestar atención y seguir las lecciones de la ilustre Señora Minerva, es posible que aprenda uno o dos trucos que lo pondrán por encima del resto.
Primero las cosas primero, revisemos nuestro plan de estudios.
==========
Lección Uno
Intellectus Securitatis Minae: Comprender las Amenazas de Seguridad
La clase está en sesión.
Estás aquí aprendiendo a defenderte contra lo que no puede verse fácilmente.
Criaturas oscuras abundan en Internet. A medida que avanzamos en nuestras lecciones, buscaremos identificarlas y descubrirlas, al mismo tiempo que descubrimos qué conjuros e ingredientes mantienen mejor a raya sus malvados actos.
Estos cibernautas sombríos buscan aprovecharse de nosotros al acceder y dañar computadoras y redes. Se regocijan en sus botines mal habidos, ya sea en su información empresarial, personal, financiera o incluso médica. Y una vez que la tienen en sus manos, el daño está hecho, sin importar si la mantienen como rehén o la subastan a otra sombra digital.
El ataque promedio cuesta a las pequeñas y medianas empresas $18,000. Solo en Estados Unidos, el 40% de los ciberataques estafan a sus víctimas por una suma de $25,000 o más, un aumento del 80% con respecto al año anterior.
Y no sea tan ingenuo como para pensar que todo lo que podría costarle un ciberataque es dinero. Dado que el sector profesional es a menudo el objetivo, tanto su reputación como su base de clientes están en juego.
En 2021, Norton descubrió que el 53% de los adul—, perdón, adultos, están más preocupados que nunca por ser víctimas de la ciberdelincuencia. A pesar de esto, hasta marzo de 2022, el 51% de las pequeñas y medianas empresas no tienen protección contra los ciberataques.
A medida que estas sombras perfeccionan su destreza para realizar hazañas de las artes digitales más oscuras, también aprenderemos a combatirlas.
==========
Lección Dos
Contra Mendaces Defende: Defiéndete Contra el Phishing
Recuerda esto bien: en su núcleo, los atacantes cibernéticos son mentirosos.
Te alimentarán con palabras dulces, te enviarán mensajes que parecen provenir de posiciones de autoridad y ofrecerán ofertas demasiado buenas para ser verdad, todo en un intento de atraparte.
¿Su objetivo? Comprometerte. Acceder a tus cuentas y obtener el control de tus activos.
Pero, ¿cómo pueden lograr tales cosas sin información personal específica, como nombres de usuario y contraseñas?
Hay una vulnerabilidad que estas serpientes digitales de lengua plateada saben que siempre es explotable: tú.
Estos son conocidos como ataques de ingeniería social.
Los ataques de ingeniería social eluden las herramientas de ciberseguridad mediante lagunas humanas.
El año pasado, el costo promedio de los ataques de phishing alcanzó los $4.24 millones de dólares. Y ese costo comprende una variedad de cosas, como:
- Fondos robados/pérdida monetaria directa
- Daño a la marca y la reputación
- Multas y sanciones por incumplimiento
- Pérdida de clientes
- Pérdida de ingresos
- Costos de respuesta y remedio
- Honorarios legales
- y otros.
Sé cuidadoso, hay muchas formas de ataques de ingeniería social. A continuación, aprenderemos cómo identificarlos.
Un Compendio de Ataques de Ingeniería Social:
Phishing: Aquí, los artistas digitales oscuros utilizan ilusiones para confundirte y pescar tu información.
Te enviarán correos electrónicos que parecen ser de una empresa legítima pidiéndote que actualices tu método de pago. O recibirás un mensaje de texto de un número desconocido pidiéndote que confirmes tu próxima cita con el médico haciendo clic en un enlace. Quizás disfrazarán malware o virus como un archivo adjunto inofensivo, haciéndote sentir seguro para que hagas clic en "Descargar" y infectes tu dispositivo.
Los ataques de phishing son obra de ciberdelincuentes oportunistas, no tienen un objetivo específico.
Se alega que el phishing fue creado por un príncipe nigeriano, aunque esto no se puede confirmar.
- Spear Phishing: Similar al phishing, pero con un objetivo específico, ya sea un individuo o una organización más grande.
- Angler Phishing: Cuentas de servicio al cliente falsas en las redes sociales que se hacen pasar por cuentas legítimas de negocios con la esperanza de que reveles tu información de inicio de sesión para dicho servicio.
- Whaling: Una forma de spear phishing dirigida a una persona de alto perfil. Los objetivos de alto perfil a menudo se traducen en pagos más grandes, por lo que son especialmente atractivos para aquellos que practican las artes oscuras digitales.
- Smishing: Intentos de phishing comunicados a través de mensajes de texto SMS.
- Vishing: Intentos de phishing comunicados a través de llamadas telefónicas.
Baiting: Ejemplo de cebo en línea: aparece una ventana emergente o una página de destino que afirma que has ganado una cantidad increíble de dinero. ¡Todo lo que tienes que hacer es hacer clic en un enlace para reclamarlo! Ese enlace está lleno de malware, sin que el objetivo lo sepa.
Ejemplo de cebo fuera de línea: ocasionalmente, nuestros artistas oscuros abandonan Internet y entran en el mundo físico. Pueden dejar un dispositivo USB sin marcar estratégicamente abandonado en una cafetería concurrida de una gran empresa, sabiendo que alguien sentirá curiosidad y lo conectará a su computadora para obtener más información. Pero ese dispositivo USB está lleno de malware, lo que podría causar estragos en tu red.
Ten cuidado con tu curiosidad. Los ciberdelincuentes saben que los humanos tienden a preguntarse y lo utilizan en su beneficio.
Ocurre tanto en línea como fuera.
Piggybacking (también conocido como tailgating): otra forma de ingeniería social en persona. En estos escenarios, un estafador intenta ingresar a un lugar seguro inmediatamente detrás de alguien que tiene acceso.
Para prevenirlo, no dejes que nadie entre en áreas restringidas después de ti. Asegúrate de que tengan una identificación y haz que la utilicen para ingresar a las instalaciones, tal como tú tuviste que hacerlo.
Estos artistas oscuros no tienen tus mejores intereses en mente. Anticipan que serás "demasiado amable" para decir algo para detenerlos, lo que les dará acceso.
Suplantación de identidad de correo electrónico empresarial
En 2021, el FBI recibió casi 20,000 informes de suplantación de identidad de correo electrónico empresarial.
Estos ataques van desde estafadores cibernéticos que suplantan correos electrónicos haciéndose pasar por empleados u otras personas de confianza que solicitan información sensible en sus correos electrónicos, hasta la toma completa de cuentas. Esto último ocurre cuando un hacker obtiene acceso a una cuenta legítima en lugar de simplemente suplantar una para que parezca real.
Quid Pro Quo
Las estafas de soporte técnico falso caen firmemente en esta categoría. Alguien llama o envía un mensaje diciendo que tu dispositivo está infectado o que eres elegible para una actualización de software. Todo lo que tienes que hacer es darles tus credenciales y se encargarán de ti. No caigas en sus mentiras.
Scareware
El miedo es un gran motivador. Los atacantes cibernéticos crean ventanas emergentes que aparecen en tu navegador y dicen algo como: "¡Tu sistema/dispositivo está infectado! Haz clic aquí para solucionarlo."
No hagas clic, nunca hagas clic. Hacerlo asegurará que tu dispositivo se infecte. Es una profecía autocumplida.
Con solo un vistazo superficial, tal vez no te des cuenta de que todo esto no son más que mentiras.
Usa tus poderes de lógica y observación. Pregúntate a ti mismo: "¿Esto es demasiado bueno para ser verdad?" o "¿Tiene sentido este mensaje?" y "¿Por qué esta persona me estaría pidiendo esa información?" si parece estar fuera de carácter.
Los mensajes dulces, las ofertas que parecen demasiado buenas para ser verdad y las vaguedades indiscriminadas están destinados a llamar tu atención y atraparte. Si interactúas de manera positiva con estas maliciosas solicitudes, como hacer clic en sus enlaces o responder a sus mensajes de texto, perderás.
En cuanto a la protección, no existe tal cosa como "demasiada protección". Además de revisar todo con un ojo crítico, puedes usar las siguientes herramientas para mantener seguro tu sitio web y correo electrónico comercial.
==========
Lección Tres
Lingua Occulta Notitia: Criptología
¿Cómo se mantiene segura la información cuando se comunica a través de Internet?
Para responder a eso, necesitaremos dar un paso atrás y entender qué sucede cuando navegas por la red.
Cada vez que usas tu computadora o teléfono inteligente para visitar un sitio web, literalmente estás "atracando en Internet", como lo haría un barco al atracar en un puerto. Una vez atracado, puedes comunicar información hacia y desde otros que también están atracados. Todos los puertos están numerados de manera diferente para indicar su uso y propiedades. Estos puertos se llaman puertos TCP, o Puertos de Protocolo de Control de Transmisión.
SSL, o Capa de Conexiones Seguras, es una tecnología que mantiene seguras las conexiones de Internet. Encripta y protege información y datos sensibles a medida que se envían entre dos sistemas (como tu navegador y otro sitio web o dos servidores). SSL impide que las sombras cibernéticas y los bots lean o cambien la información que se envía entre los sistemas (como la información de la tarjeta de crédito durante una transacción de comercio electrónico).
¿Se puede transferir datos de un servidor a otro sin SSL? Claro que sí. Pero, ¿por qué tentar al diablo y correr el riesgo de exponer tu información?
Entonces, ¿cómo puedes saber si tu conexión a un sitio web es segura?
Mira la URL en la barra de direcciones de tu navegador. Verás que la URL comienza con una de dos cosas: o es HTTP o HTTPS. El HTTPS indica una conexión segura (y utiliza el número de puerto 443). HTTP es un protocolo de Internet no seguro (y utiliza el número de puerto 80).
¿Eres propietario de un sitio web? Es tu responsabilidad asegurar tu dominio digital, tanto para ti como para los visitantes de tu sitio. Hazlo comprando y utilizando SSL en tu sitio.
Ventajas de usar SSL:
Carga de páginas web más rápida - HTTPS carga páginas más rápido que HTTP. ¿Quién espera que se cargue una página web hoy en día cuando siempre hay un competidor a la vuelta de la esquina digital cuyo sitio podría ser más rápido?
Mejora el SEO - Tu sitio es más probable que se clasifique más alto en los resultados de búsqueda si utilizas HTTPS en lugar de HTTP.
Detiene a los hackers y a los actores maliciosos en su camino - SSL encripta los datos transferidos entre dos sistemas. Incluso si estas personas maliciosas y bots de alguna manera pudieran ver los datos que se están transfiriendo, no sabrían lo que dice.
Mantiene la conformidad con PCI - La conformidad con PCI significa Conformidad con la Industria de Tarjetas de Pago. Esto es requerido por todas las compañías de tarjetas de crédito al realizar transacciones en línea para proteger aún más contra el robo de datos e identidad.
Parte de las pautas de conformidad con PCI es que tu sitio debe usar HTTPS, lo que significa que tu certificado SSL debe estar configurado en tu sitio antes de poder aceptar pagos con tarjeta de crédito por compras.
Sin alertas aterradoras - Si estás usando HTTP, es probable que tus visitantes del sitio reciban avisos que les dicen que tu sitio web no es seguro cuando llegan a él. Francamente, esto se ve mal. Les hace perder la confianza en tu sitio y es probable que no vuelvan.
==========
Lección Cuatro
Secure Possessiones Tuas: Protege Tus Propiedades
¿Buscas la fórmula para la seguridad digital? Seguidos correctamente, los adeptos de estos pasos tendrán suerte en todos sus emprendimientos en línea...
Protege tu hogar digital
Los atacantes cibernéticos no pueden traspasar tus límites en línea si sigues estos pasos.
- Utiliza contraseñas fuertes.
- Instala un certificado SSL.
- Utiliza un proveedor de hosting de buena reputación.
- Realiza análisis de malware de forma regular.
- Realiza copias de seguridad de tu sitio.
- Mantén actualizados los plugins de WordPress u otros complementos y aplicaciones web de tu sitio.
- Realiza auditorías y pruebas regulares de tu sitio para garantizar su seguridad. Aprende lo que hace una contraseña fuerte aquí.
Las personas desconfían cada vez más de "HTTP" en sus navegadores, y con razón. Quieren saber que estás haciendo todo lo posible para proteger su información. Tu puerto SSL indica que hay una conexión segura y encriptada que mantiene sus datos a salvo de miradas indiscretas.
Un proveedor de hosting de buena reputación tiene un historial comprobado de mantener la seguridad de sus clientes y es capaz de ayudarte a abordar amenazas y malware si ocurren.
¿Quién tiene tiempo para supervisar manualmente su seguridad en línea? SiteLock Security protege tu sitio web de malware, virus, hackers y spam. Escanea tu sitio en busca de estas amenazas maliciosas, eliminando automáticamente las que encuentra, y te alerta cuando algo no parece estar del todo bien.
¿Por qué? Realizar copias de seguridad de tu sitio web es la única garantía que tienes de que tu sitio se pueda restaurar por completo si experimentas un problema grave.
El error humano (eliminar archivos involuntariamente), los hackers cibernéticos maliciosos o los temas y complementos desactualizados y sin protección pueden introducir riesgos en tu sitio.
Las artes oscuras digitales están en constante evolución. Para mantenerte un paso adelante de ellas, mantén tus complementos actualizados. No hacerlo deja tu sitio vulnerable y abierto a ataques. No solo eso, sino que pueden afectar la experiencia de tu sitio, causando problemas a los visitantes legítimos.
Como personas, siempre estamos tratando de mejorar nosotros mismos. ¿Por qué debería ser diferente para nuestros sitios web y otras propiedades digitales? ¿No nos representan?
Este pergamino contiene los secretos para auditar tu presencia digital. Úsalo sabiamente.
==========
Lección Cinco
Protegas Fama: Protege tu Marca
Los artistas oscuros digitales comprenden el poder de un nombre. Es por eso que están tras el tuyo.
Tu nombre es irrevocablemente tuyo, es parte integral de tu marca, eso especial que te hace ser tú. Comprende cada faceta de ti que se muestra al público y, inversamente, lo que la gente piensa de ti.
Tu marca personal NO puede sobrevivir a las mentiras y el engaño.
Por eso, los ciberdelincuentes siempre apuntarán a tu nombre además de tus propiedades digitales, como tu sitio web y las redes sociales.
Si capturan tu nombre, controlan tu narrativa.
¿Cómo podrían hacerlo? Las posibilidades son innumerables.
- Sitios web falsificados. Si un cliente llega a un sitio fraudulento y sufre daños en el mundo real (malware en su dispositivo, información sensible comprometida), siempre asociará esto con tu nombre. ¿Querrías seguir haciendo negocios con alguien si su nombre solo te causara recuerdos de eventos traumáticos? Probablemente no.
- Piratería de derechos de autor. A los ciberdelincuentes no les gusta el trabajo honesto. Reproducirán y distribuirán ilegalmente tus materiales con derechos de autor, dañando tus ingresos.
- Infracción de marca registrada.
Para convencer a otros de que son quienes dicen ser, los hackers no tienen reparos en utilizar marcas comerciales de maneras no autorizadas.
- Robo de patentes. Una patente representa una gran cantidad de trabajo. Sea cual sea tu patente, detrás de ella hay horas de ideación, creación, iteración y finalización. Un artista digital oscuro tomará la ruta fácil. Harán todo lo posible para fabricar, utilizar y vender tus productos sin obtener una licencia.
- Suplantación en las redes sociales. Las redes sociales son una herramienta fantástica para construir tu marca y conectarte con tu audiencia. Hasta que alguien más lo haga por ti y engañe a tu audiencia desprevenida para que revele su información privada.
Para proteger tu marca, sigue estos pasos:
- Adquiere las variantes de ortografía incorrecta de tu dominio. Los ciberdelincuentes compran variaciones de nombres de dominio con la esperanza de capturar el tráfico que estaba destinado a tu sitio.
- Compra dominios/TLDs alternativos. Dependiendo de tu negocio, es posible que no desees que tu nombre de marca esté asociado con un dominio .sexy o .xxx. Registra esos dominios antes de que alguien más lo haga y los utilice en tu detrimento.
- Presta atención a la estética y los elementos de tu marca para reforzar la confianza. Aumenta la confianza en las bandejas de entrada de tus clientes utilizando una dirección de correo electrónico profesional que coincida con tu nombre de dominio. Esto les ayuda a saber que no están a punto de abrir un mensaje de spam y que su sistema no se infectará con malware.
Consulta esta Lista de Verificación de Branding y Diseño de Sitios Web para asegurarte de que tu marca sea coherente sin importar dónde te encuentres en línea, ya sea en tu sitio web, en las redes sociales y más.
Abundans cautela non nocet: La abundante precaución no hace daño
No es conveniente quedarse con una falsa sensación de seguridad y olvidar los peligros que acechan en Internet en busca de tu ruina.
Cuida los límites de tu sitio web, redes sociales y cuentas de correo electrónico. Cumple con tu deber de protegerte a ti mismo y a tus clientes.