¡Robo de identidad a domicilio!

Foto de Andrea Piacquadio en Pexels

El que sigue eres tú

Alguna vez te has preguntado: “¿Podrían robar mi identidad en la comodidad de mi hogar?”. Pues déjame decirte que es posible, por medio de los recursos digitales. A continuación, te voy a explicar más sobre esto.

“No hay peor sistema de seguridad que uno protegido por usuario y contraseña” -Chema Alonso

¡Wow!, parece irreal que esta declaración sea correcta, pero así es, no hay peor sistema de seguridad para identificarnos como el uso de una contraseña, que no es más que una cadena de texto de 6, 8, 10 o un cierto número de caracteres, que cualquiera podría tener, adivinar o robar. Pero no te preocupes amigo lector, en este artículo te mostraré cómo funciona el robo de identidad cibernética y cómo podrías evitarlo.

Quizá ya tengas conocimiento sobre este tema o posiblemente no, pero yo te lo explicaré de una forma sencilla e ilustrativa, con el fin de que al finalizar esta lectura hayas adquirido nuevo conocimiento que te pueda ser de utilidad. El robo de identidad es un problema tan común que nos puede pasar a cualquiera de nosotros. El ser común implica que hay varias modalidades o variantes, así que partamos del más ineficaz o descentralizado:

Phishing Attack (Spam Phishing)

Consiste en enviar un correo en masa pidiendo datos como correo y contraseña.

Parece un método bastante absurdo y anticuado, pero aún hoy en día es impresionante la cantidad de personas que caen en este ataque, haciéndolo eficaz. Una de las más grandes desventajas de este método es la facilidad de rastreo debido a su masividad.

Esta metodología crece y se adapta, haciendo ataques más sofisticados, para evitar que sea tan evidente, sin dirección o motivo; así nace la siguiente modalidad:

Spear Phishing

Consiste en enviar un correo dirigido, con información que le concierne únicamente a la víctima para así obtener sus datos.

Es como si fuera una lanza que te envían solo a ti, haciéndolo menos localizable porque va dirigido para ti, habla de ti, sabe cosas de ti, etc.

Al final del día, este tipo de ataques tienen un defecto, son tan comunes que llegan a ser muy obvios e incluso absurdos. No obstante, para facilitar su detección se han creado medidas de seguridad para identificar la legitimidad de la información, como el Certificado ssl (el famoso candadito verde) y las Ventanas pop-up (ventanas rojas):

Para hacer más robusta la seguridad, también se ha buscado proteger las identidades; para ello, se ha creado la tecnología:

Two Factor Authentication

Consiste en tener un elemento físico que verifique que eres tú. Esto va desde el típico mensaje con un código de verificación hasta apps de pestillo, en las que debes presionar un botón para desbloquear tu acceso.

¡OJO! No deberías tener ninguna cuenta de redes sociales, de tu empresa o personal, sin su respectivo Two Factor Authentication.

Aún así, la realidad es que NO VA A SER DIFÍCIL acceder a tu identidad porque existe una tecnología de registro e identificación llamada OAuth. Todos hemos utilizado este método de identificación para acceder a nuestra red social favorita, sitio de entretenimiento preferido o incluso algún sistema de productividad. Es decir, está en todos lados y, al ser tan fácil de usar, puedo asegurar que todos alguna vez lo hemos usado. Te muestro un ejemplo y te explico por medio de un caso cotidiano cómo funciona:

Para comprender cómo podrían tomar tu identidad por medio del sistema OAuth, déjame explicarte su funcionamiento. En la siguiente imagen, la casa representa a alguno de nuestros activos, en este caso el correo electrónico; el segundo individuo, el usuario, nos representa a nosotros ya que -cuando necesitamos acceder a nuestro correo- debemos identificarnos con el identity provider (El guardia de seguridad). Hasta aquí, sería el funcionamiento común de autenticación.

Pero hay veces que nosotros queremos acceder a nuestra red social favorita o utilizar archivos (Aplicación de tercero) y, para ello, esta aplicación debe acceder a uno de nuestros activos, es decir, nuestra “casa” (nuestro correo electrónico, nuestro drive, etc.) para hacer algunas cosas. Algo así como cuando un obrero viene a nuestra casa para hacer reformas. Esto quiere decir que cuando nosotros aceptamos autenticarnos en un servicio externo con nuestra cuenta de google, microsoft, facebook, etc., lo que le decimos a ese sitio externo es “Te doy permiso para que accedas a mi casa, a mi información”.

Retomando la analogía del obrero, es como si tomáramos un papelito, le firmamos una autorización de acceso (Token) y le dijéramos: -Toma ve, muéstrale al de seguridad esta autorización y haz las reformas-. Entonces, lo que hará la aplicación es tomar ese token y llegar al sistema de seguridad para decir: -Hola señor guardia del correo electrónico, tengo un pase autorizado por el dueño de esta identidad-, a lo que el guardia de seguridad responderá: -Adelante-.Y ¡adiós a tu vida digital!

Pero… ¿Realmente es así de fácil caer? Te muestro un ejemplo de lo sencillo que es caer y de generar este ataque a tu vida digital. Lo primero es crear una aplicación maliciosa, es tan sencillo como ir al sitio de microsoft y dar de alta cualquier app. Se te da un identificador de app, con ese identificador se envía un correo electrónico dirigido a la víctima (muy bonito, con estilos, iconos, con sus candados verdes y todo lo que se quiera) con un enlace/botón que pedirá los permisos para acceder a “la cocina, el baño, la caja fuerte y a toda tu información”; el usuario da el click, un solo click y no hace nada más, ni siquiera pone la contraseña, pero con ese click ya se puede estar dentro del correo de la víctima durante meses, hasta que se interese hacer alguna estafa o tranza con tu información.

Este es un ejemplo del correo que podrías recibir y puedes pensar que al hacer click en ese botón, te redireccionará a un sitio oficial de Microsoft (en este caso). Si te das cuenta, es una URL válida y legítima, tiene su candadito verde y cumple aparentemente con todos los requisitos de seguridad. De esta manera, podríamos haber dado acceso a una aplicación maliciosa a nuestra información personal. ¡Por eso es tan fácil caer!

Así que siempre recuerda: “No hay peor sistema de seguridad que una contraseña”

Estos son algunos tips que te pueden ayudar a fortalecer tu seguridad:

1. Revisa la fiabilidad de las aplicaciones a las que accedes por medio de OAuth.
2. Siempre, antes de aceptar, se te desplegará una lista de permisos que otorgan al continuar; léelos y asegúrate de estar de acuerdo. En varios casos se permite cancelar alguno de estos permisos, solo ten en mente que esto podría modificar o limitar las funciones de la aplicación.
3. Aunque parezca que no es útil, siempre revisa que tenga el famoso candadito verde y no omitas las pantallas rojas.
4. A pesar de la vulnerabilidad que las contraseñas sugieren, seguirán ahí, por lo que te recomiendo que utilices contraseñas robustas con caracteres especiales, mayúsculas, minúsculas, números y que sean lo más alejado a tu información personal (evita fechas, nombres y datos relacionados a ti). Te dejo un generador de contraseñas https://www.lastpass.com/es/password-generator. Además, ahí te cuentan más tips de cómo robustecer tu contraseña.
5. Utiliza siempre sistemas de doble autorización. Muchas apps ya incluyen la opción por default, así que busca activarla en la sección de seguridad y/o cuenta.
6. Si se te pasaron los puntos 1 y 2, y crees que ya tienes una aplicación que accede a datos que no quieres que obtenga, no te preocupes. Ve a la sección de seguridad y aplicaciones de tu correo o plataforma con la que te registraste, y cancela el token completo o permisos específicos.

Espero te sea útil esta información para dominar tu identidad en la red. Te deseo éxito en tu día, noche, en el trabajo o donde quiera que te encuentres. Recuerda moderar tu conexión en la red terrenal y siempre conectarte a la red celestial, donde no hay trampas ni robos. ¡Gracias por leerme!