Cómo los profesionales de la seguridad protegen la información personal

2024 Autor: Malcolm Clapton | [email protected]. Última modificación: 2023-12-17 03:53

¿Tiene sentido renunciar a las aplicaciones bancarias y Wi-Fi públicas y obtener una tarjeta separada para compras en línea? La opinión de un especialista en seguridad de la información.

La mitad de mis colegas en seguridad de la información son paranoicos profesionales. Hasta 2012, yo mismo era así: estaba encriptado por completo. Entonces me di cuenta de que una defensa tan aburrida interfiere con el trabajo y la vida.

En el proceso de "salir", desarrollé hábitos que te permiten dormir tranquilamente y al mismo tiempo no construir un muro chino alrededor. Te cuento qué reglas de seguridad trato ahora sin fanatismo, que violo de vez en cuando, y que sigo con toda seriedad.

Paranoia excesiva

No uses Wi-Fi público

Yo uso y no tengo miedos al respecto. Sí, existen amenazas al utilizar redes públicas gratuitas. Pero el riesgo se minimiza siguiendo simples reglas de seguridad.

1. Asegúrese de que el hotspot pertenezca al café y no al pirata informático. El punto legal solicita un número de teléfono y envía un SMS para ingresar.
2. Utilice una conexión VPN para acceder a la red.
3. No ingrese nombre de usuario / contraseña en sitios no verificados.

Recientemente, el navegador Google Chrome incluso comenzó a marcar páginas con conexiones no seguras como inseguras. Desafortunadamente, los sitios de phishing han adoptado recientemente la práctica de obtener un certificado para imitar los reales.

Por lo tanto, si desea iniciar sesión en algún servicio utilizando Wi-Fi público, le aconsejo que se asegure de que el sitio sea original cien veces. Como regla general, basta con ejecutar su dirección a través de un servicio whois, por ejemplo, Reg.ru. La última fecha de registro de dominio debería alertarle: los sitios de phishing no duran mucho.

No inicie sesión en sus cuentas desde los dispositivos de otras personas

Entro, pero configuro la autenticación de dos pasos para redes sociales, correo, cuentas personales, el sitio web del Servicio del Estado. Este también es un método de protección imperfecto, por lo que Google, por ejemplo, comenzó a usar tokens de hardware para verificar la identidad del usuario. Pero por ahora, para los "simples mortales" es suficiente que su cuenta solicite un código de SMS o de Google Authentificator (en esta aplicación, cada minuto se genera un nuevo código en el propio dispositivo).

Sin embargo, admito un pequeño elemento de paranoia: reviso regularmente mi historial de navegación por si alguien más ingresó a mi correo. Y por supuesto, si inicio sesión en mis cuentas desde los dispositivos de otras personas, al finalizar el trabajo no me olvido de hacer clic en “Finalizar todas las sesiones”.

No instale aplicaciones bancarias

Es más seguro utilizar la aplicación de banca móvil que la banca en línea en la versión de escritorio. Incluso si está diseñado de manera ideal desde el punto de vista de la seguridad, la pregunta sigue siendo las vulnerabilidades del navegador en sí (y hay muchas), así como las vulnerabilidades del sistema operativo. El software malintencionado que roba datos se puede inyectar directamente en él. Por lo tanto, incluso si la banca en línea es perfectamente segura, estos riesgos siguen siendo más que reales.

En cuanto a la aplicación bancaria, su seguridad está totalmente en la conciencia del banco. Cada uno de ellos se somete a un análisis exhaustivo de la seguridad del código, a menudo involucrados eminentes expertos externos. El banco puede bloquear el acceso a la aplicación si cambió la tarjeta SIM o simplemente la movió a otra ranura en su teléfono inteligente.

Algunas de las aplicaciones más seguras ni siquiera se inician hasta que se cumplen los requisitos de seguridad, por ejemplo, el teléfono no está protegido por contraseña. Por lo tanto, si usted, como yo, no está dispuesto a renunciar a los pagos en línea en principio, es mejor utilizar una aplicación en lugar de la banca en línea de escritorio.

Por supuesto, esto no significa que las aplicaciones sean 100% seguras. Incluso los mejores muestran vulnerabilidades, por lo que son necesarias actualizaciones periódicas. Si cree que esto no es suficiente, lea publicaciones especializadas (Xaker.ru, Anti-malware.ru, Securitylab.ru): escribirán allí si su banco no es lo suficientemente seguro.

Use una tarjeta separada para compras en línea

Personalmente, creo que esto es un problema innecesario. Tenía una cuenta separada para que, si fuera necesario, transfiriera dinero a la tarjeta y pagara las compras en Internet. Pero también rechacé esto, es un perjuicio para la comodidad.

Es más rápido y económico obtener una tarjeta bancaria virtual. Cuando realiza compras en línea usándolo, los datos de la tarjeta principal en Internet no se iluminan. Si cree que esto no es suficiente para una total confianza, contrate un seguro. Este servicio lo ofrecen los principales bancos. En promedio, a un costo de 1,000 rublos al año, el seguro de la tarjeta cubrirá daños de 100,000.

No uses dispositivos inteligentes

El Internet de las cosas es enorme y hay más amenazas en él que en el tradicional. Los dispositivos inteligentes están plagados de enormes oportunidades para la piratería.

En el Reino Unido, los piratas informáticos piratearon una red de casino local con datos de clientes VIP a través de un termostato inteligente. Si el casino resultó ser tan inseguro, qué decir de una persona común. Pero uso dispositivos inteligentes y no les pongo cámaras. Si la televisión y la información sobre mí se fusionan - al diablo con ella. Definitivamente será algo inofensivo, porque almaceno todo lo importante en un disco cifrado y lo guardo en el estante, sin acceso a Internet.

Apague su teléfono en el extranjero en caso de escuchas telefónicas

En el extranjero, usamos con mayor frecuencia mensajeros que encriptan perfectamente los mensajes de texto y de audio. Si se intercepta el tráfico, solo contendrá un "desorden" ilegible.

Los operadores móviles también utilizan cifrado, pero el problema es que pueden desactivarlo sin el conocimiento del suscriptor. Por ejemplo, a petición de los servicios especiales: este fue el caso durante el ataque terrorista en Dubrovka para que los servicios especiales pudieran escuchar rápidamente las negociaciones de los terroristas.

Además, las negociaciones son interceptadas por complejos especiales. El precio para ellos comienza desde 10 mil dólares. No están disponibles para la venta, pero están disponibles para los servicios especiales. Entonces, si la tarea es escucharte, ellos te escucharán. ¿Tienes miedo? Luego apague su teléfono en todas partes y también en Rusia.

En cierto modo tiene sentido

Cambiar contraseña todas las semanas

De hecho, una vez al mes es suficiente, siempre que las contraseñas sean largas, complejas y separadas para cada servicio. Es mejor seguir los consejos de los bancos porque están cambiando los requisitos de contraseña a medida que aumenta la potencia informática. Ahora, un criptoalgoritmo débil se soluciona mediante la fuerza bruta en un mes, de ahí el requisito de la frecuencia de los cambios de contraseña.

Sin embargo, haré una reserva. Paradójicamente, el requisito de cambiar las contraseñas una vez al mes encierra una amenaza: el cerebro humano está diseñado de tal manera que, si es necesario tener en cuenta constantemente nuevos códigos, comienza a salir. Como han descubierto los expertos en cibernética, cada nueva contraseña de usuario en esta situación se vuelve más débil que la anterior.

La solución es usar contraseñas complejas, cambiarlas una vez al mes, pero usar una aplicación especial para el almacenamiento. Y la entrada a ella debe estar cuidadosamente protegida: en mi caso, es un cifrado de 18 caracteres. Sí, las aplicaciones tienen el pecado de contener vulnerabilidades (consulte el párrafo sobre aplicaciones a continuación). Tienes que elegir el mejor y seguir las novedades sobre su fiabilidad. Todavía no veo una forma más segura de mantener docenas de contraseñas seguras en mi cabeza.

No use servicios en la nube

La historia de la indexación de Google Docs en la búsqueda de Yandex mostró cuánto se equivocan los usuarios acerca de la confiabilidad de este método de almacenamiento de información. Yo personalmente uso los servidores en la nube de la empresa para compartir porque sé lo seguros que son. Esto no significa que las nubes públicas gratuitas sean un mal absoluto. Justo antes de subir un documento a Google Drive, tómese la molestia de cifrarlo y poner una contraseña de acceso.

Medidas necesarias

No dejes tu número de teléfono a nadie ni en ningún lugar

Pero esta no es una precaución adicional en absoluto. Sabiendo el número de teléfono y el nombre completo, un atacante puede hacer una copia de una tarjeta SIM por unos 10 mil rublos. Recientemente, este servicio se puede obtener no solo en la darknet. O incluso más fácil: volver a registrar el número de teléfono de otra persona con un poder notarial falso en la oficina de un operador de telecomunicaciones. Luego, el número puede usarse para acceder a cualquier servicio de la víctima donde se necesite autenticación de dos factores.

Así es como los ciberdelincuentes roban cuentas de Instagram y Facebook (por ejemplo, para enviarles spam o usarlas para ingeniería social), obtienen acceso a aplicaciones bancarias y limpian cuentas. Recientemente, los medios de comunicación contaron cómo en un día se robaron 26 millones de rublos a un empresario de Moscú utilizando este esquema.

Tenga cuidado si su tarjeta SIM dejó de funcionar sin motivo aparente. Es mejor ir a lo seguro y bloquear su tarjeta bancaria, esto será paranoia justificada. Después de eso, comuníquese con la oficina del operador para averiguar qué sucedió.

Tengo dos tarjetas SIM. Los servicios y las aplicaciones bancarias están vinculados a un número, que no comparto con nadie. Utilizo otra tarjeta SIM para las necesidades de comunicación y del hogar. Dejo este número de teléfono para registrarme en un webinar u obtener una tarjeta de descuento en la tienda. Ambas tarjetas están protegidas por un PIN; esta es una medida de seguridad rudimentaria pero pasada por alto.

No descargues todo a tu teléfono

Una regla de hierro. Es imposible saber con certeza cómo el desarrollador de la aplicación utilizará y protegerá los datos del usuario. Pero cuando se sabe cómo las utilizan los creadores de aplicaciones, a menudo se convierte en un escándalo.

Los casos recientes incluyen la historia de Polar Flow, donde puede averiguar el paradero de los oficiales de inteligencia de todo el mundo. O un ejemplo anterior con Unroll.me, que se suponía que protegía a los usuarios de las suscripciones de spam, pero al mismo tiempo vendía los datos recibidos a un lado.

Las aplicaciones a menudo quieren saber demasiado. Un ejemplo de libro de texto es la aplicación Flashlight, que solo necesita una bombilla para funcionar, pero quiere saber todo sobre el usuario, hasta la lista de contactos, ver la galería de fotos y dónde está el usuario.

Otros exigen aún más. UC Browser envía IMEI, ID de Android, dirección MAC del dispositivo y algunos otros datos del usuario al servidor de Umeng, que recopila información para el mercado de Alibaba. Yo, como mis colegas, preferiría rechazar una solicitud de este tipo.

Incluso las personas paranoicas profesionales corren riesgos, pero son conscientes. Para no tener miedo de todas las sombras, decida qué es público y qué es privado en su vida. Construya muros alrededor de la información personal y no caiga en el fanatismo sobre la seguridad de la información pública. Entonces, si un día encuentra esta información pública en el dominio público, no se sentirá terriblemente herido.