lunes, 13 de junio de 2011

¿Es Segura Internet? (I)

Poco a poco, casi sin darnos cuenta, Internet se ha convertido en un acompañante más de nuestra actividad diaria; Leemos las noticias en Internet, consultamos el tiempo para el fin de semana, buscamos información acerca de los productos que más nos interesan, contratamos nuestras vacaciones, compramos productos, consultamos nuestra cuenta bancaria, chateamos con nuestros amigos y nos relacionamos a través de las redes sociales. Y todo esto lo hacemos en cualquier lugar y en cualquier momento.

Con la llegada de la Ley de Acceso de los Ciudadanos a los Servicios Públicos (LACSP), los ciudadanos Españoles – aunque la mayoría lo ignora - hemos adquirido el derecho de acceder a los servicios de la administración por vía electrónica, incrementando el potencial de uso de la Web; Ahora podemos realizar electrónicamente las tramitaciones más comunes (declaración de la renta, solicitud de vida laboral del trabajador, becas, obtención de la partida de nacimiento, pagos de tributos municipales, etc).

En este novedoso mundo de los servicios web, cada día más cercano y pervasivo, ¿Podemos asegurar que estemos seguros en nuestra relación vía Internet con las empresas o con las Administraciones públicas?.

Si atendemos a las noticias de cada día, la respuesta sería un rotundo NO. Solo pensando en las últimas semanas hemos tenido conocimiento de ataques por parte de Hackers a Sony, a la plataforma de blogs Wordpress, a Google, Amazon, a RSA, al FMI.

El problema es que muchos de estos ataques han sido exitosos, esto es, se ha comprometido información que los usuarios habían confiado a algunas de estas empresas.

Las Administraciones públicas no son ajenas a estos ataques. Basta recordar el ataque de la organización Anonymous al Ministerio de Cultura por desacuerdo con la Ley Sinde, o más recientemente el ataque al Instituto Nacional de Tecnologías y comunicaciones (INTECO), organismo especializado en Seguridad en Internet y TICs, en el que se accedió ilícitamente a datos de usuarios de esta Web gubernamental.

¿Qué podemos hacer para mejorar la Seguridad en la Web?

Lo primero de todo es reconocer que la seguridad Web depende de los diferentes actores que participan en cualquier transacción o actividad a través de Internet, esto es, de los proveedores de los servicios web (Empresas, Administraciones), de los proveedores de acceso a Internet (Telefónica, Ono, etc), de los desarrolladores de software (Microsoft, Google, Mozilla, GNU, etc) y de los propios usuarios.

Cada uno debe aportar su parte para garantizar la seguridad y no habrá seguridad completa si falla alguna de las partes.

Medidas de Seguridad: Usuarios

Como usuarios de los servicios de Internet (lo somos todos) hay algunas medidas esenciales que debemos adoptar :
  •  En primer lugar, debemos asumir que debemos mejorar nuestra formación en aspectos de seguridad en Internet.

    En la circulación vial, todos entendemos que debemos aprender las reglas de juego, los peligros existentes y las mejores formas de evitarlos. Sin embargo, para navegar por Internet no tenemos que estudiar un manual ni pasar un examen que garantice nuestra competencia para hacerlo de manera segura.

    Seguramente los usuarios somos la parte más vulnerable de toda la cadena y es nuestra responsabilidad interesarnos por los aspectos básicos de seguridad.

    Un buen comienzo son los manuales publicados por INTECO. Se pueden encontrar en http://www.inteco.es/Seguridad/Observatorio/manuales_es. Tambien pueden ser de interés las publicaciónes de la Asociación de Internautas.
      
  • Actualizar periódicamente los equipos y navegadores desde los que se accede a Internet para evitar de que los hackers se aprovechen de los errores conocidos (vulnerabilidades) de nuestro navegador o del equipo.

    Los usuarios de sistemas operativos basados en Windows pueden hacerlo fácilmente activando las actualizaciones automáticas.

    Los usuarios de sistemas operativos basados en Linux deberán hacerlo a través del gestor de actualizaciones o manualmente.

    También hay que recordar en actualizar periódicamente el Navegador Web utilizado (FireFox, Crome, Opera, etc).
     
  • Instalar y mantener actualizados antivirus y firewall personales.

    Hoy en día, los mejores antivirus detectan un porcentaje bajo de virus y otros tipos de malware (inferior al 70%) pero reducimos muy significativamente las posibilidades de ser afectados por software dañino utilizando estas herramientas software y actualizandolas diariamente.
  • Acceder a las Web utilizando cifrado en las comunicaciones.

    Para hacer esto, debemos asegurarnos que las direcciones internet que utilicemos empiecen por el prefijo https (por ejemplo https://www.mibanco.es/). Normalmente, las direcciones Internet empiezan por http://. La s que añadimos le dice a la Web de destino que queremos cifran (securizar) las comunicaciones.

    Nunca deberemos introducir un dato sensible, como una contraseña, en páginas a las que no estemos accediendo con el prefijo https (la mayoría de las Web habilitan automáticamente este cifrado cuando piden la autenticación al usuario).

    En general, siempre que podamos, debemos utilizar conexiones seguras https. No todas las Webs permiten esto. Algunas, como Facebook, permiten configurar a los usuarios que por defecto se cifren las comunicaciones:


  • No utilizar la misma contraseña para servicios diferentes.

    Si un usuario usa la misma contraseña para facebook, gmail, twitter, bancos, etc, en el caso de que nuestra contraseña en alguno de los sitios web sea comprometida, esto podría permitir al atacante acceder al resto de servicios.
  • No acceder con nuestro usuario y contraseña desde sitios públicos (bibliotecas, cibercafés, etc).

    Utilizar preferentemente certificados digitales o mejor DNI electrónico para acceder a los servicios de empresas y administraciones públicas.
  • Estar atentos a ataques de Ingeniería social en los que se solicitan claves o datos personales al usuario por medio de llamadas, correos electrónicos falsos, etc.
  • No dejar información personal en las redes sociales que pueda ser utilizada en contra de nuestra seguridad.

    Datos como fechas de nacimiento, nombres de familiares, colegios en los que se ha estudiado, nombres de mascotas, etc forman parte de muchas contraseñas. Esta es una mala práctica cuando esos datos se pueden encontrar fácilmente en las redes sociales.

    A Paris Hilton le lograron suplantar la identidad en una conocida red social porque tenía habilitada la funcionalidad de utilizar una pregunta de seguridad cuya respuesta solo conociera el usuario para permitir el acceso en el caso de olvidar la contraseña. En el caso de Paris Hilton, la pregunta de seguridad elegida era el nombre su mascota....que podía encontrarse facilmente en la propia red social, peródicos, revista del corazón, etc...
  • Ser curiosos y estar atentos a cualquier anomalía o comportamiento extraño en el uso de Internet.
Algunos usuarios con los que he hablado de este tema se quejan, con razón, de que son muchas las medidas que deben tomar para mejorar un poco la seguridad de sus accesos a Internet.

Desgraciadamente, esto es así. Internet no nació segura y hay personas que se ganan la vida aprovechandose de esta debilidad y de la buena fé de los internautas confiados. Se trata de ponerselo un poco más difícil, sin entrar en la paranoia de Mel Gibson en la película Conspiración. 

En el siguiente Post seguiremos analizando las medidas de seguridad, esta vez desde el punto de vista de los proveedores y desarrolladores de los servicios Web, incluyendo entre estos a las AAPP.

No hay comentarios:

Publicar un comentario

Agradecemos tu comentario