El primer paso será abrir Whatsapp en nuestro teléfono, ir a Ajustes pulsando el icono de menú (tres puntos que están situados en la parte superior derecha de la pantalla principal de Whatsapp) y allí a Cuenta. Una vez estemos en esa pantalla pulsamos Solicitar info. de mi cuenta.
Una vez estemos en esta pantalla pusamos en Solicitar Informe. Esa pantalla ya nos informará de que el envío tardará un tiempo que oscila entre varias horas y un par de días, además no incluirá las conversaciones o imágenes (eso está en la copia de seguridad) sino los datos que ha acumulado sobre nosotros.
Cuando nuestro informe esté listo recibiremos una notificación de Whatsapp diciendo «El informe ya está disponible» y volviendo a Ajustes->Cuenta->Solicitar Info. De Mi Cuenta podremos ver ahora una opción que es Descargar Informe. Pulsando ahí podremos bajarnos un fichero comprimido en formato zip que incuirá archivos html y json con nuestros datos. Estos ficheros tendremos que abrirlos con otra aplicación, por ejemplo descargándolos en nuestro pc, ya que no podremos verlos dentro de la propia aplicación de Whatsapp.
Que Google sigue siendo el buscador más utilizado hoy por hoy es algo que no vamos a discutir, como tampoco discutiré que habitualmente es el que nos ofrece los resultados más relevantes para nuestra búsqueda, en gran parte por la cantidad de datos que ha recopilado durante años sobre nuestros hábitos de navegación, ubicación geográfica, etc. Esto no quiere decir que el resto de buscadores no sean útiles o válidos: ya sea por privacidad en algunos casos, porque estemos investigando a una persona u organización, porque Google no nos haya dado un resultado satisfactorio en nuestra búsqueda… muchos veces echamos mano de otros buscadores como Bing, DuckDuckGo, Yandex, Startpage o Baidu.
Si eres una persona habituada a hacer un uso de Google avanzado sabrás que hay ciertos operadores que te permitirán afinar más tu búsqueda. La mayoría de estos operadores funcionan igual en Bing, Yandex, Baidu y, lógicamente, Startpage (ya que este buscador lo que hace es buscar en Google enmascarando al usuario). En DuckDuckGo en cambio la cosa es un poco distinta. Veamos unos ejemplos:
Coches motos: si buscamos estos dos términos así, tal cual, nos dará resultados sobre coches y sobre motos.
«coches y motos»: en cambio si buscamos así entre comillas, al igual que pasaría en Google nos devuelve resultados que contengan la frase exacta «coches y motos».
Coches +motos: con el operador + junto a uno de los términos lo que haremos será dar más peso a ese término en la búsqueda. Eeste ejemplo devolvería más resultados sobre motos que sobre coches.
Coches -motos: con el operador – junto a uno de los términos lo que haremos será excluir o dar menos peso a ese término en la búsqueda. Este ejemplo principalmente devolverá resultados sobre coches obviando las motos.
Alumnos filetype:pdf : en este caso nos devuelve todos los ficheros PDF que encuentre relativos al término de búsqueda (para el ejemplo, Alumnos). Podemos buscar ficheros con extensión PDF, doc, docx, xls, xlsx, ppt, pptx, html…
Alumnos site:webdelinstituto.com : busca el término Alumnos, pero solo dentro del dominio que le hemos definido.
Alumnos -site:webdelinstituto.com : busca el término Alumnos, pero en este caso excluye los que pertenezcan al dominio que le definamos.
intitle:Alumnos : busca páginas que tengan el término Alumnos en el título.
inurl:Alumnos : busca páginas que tengan el término Alumnos en su URL.
!a camiseta: el operador ! nos permite invocar lo que DuckDuckGo llama «bang«, básicamente lo que hace es devolvernos los resultados de un motor de búsqueda externo directamente. En el ejemplo hemos usado !a, en ese caso devolverá los resultados del motor de búsqueda de Amazon para ese término (es decir, camisetas que estén a la venta en amazon). Si por ejemplo buscamos !w Tesla nos devolverá los resultados del motor de búsqueda de Wikipedia para el término Tesla. También podríamos usar !yelp, !ebay o !wa (este último para Wolfram Alpha). Hay como 13.000 términos de búsqueda, que podéis consultar aquí (he solicitado que hubiera un !donnierock… pero no les ha convencido de momento).
!safeon o !safeoff: añadiendo esto al final de tu búsqueda puedes habilitar o deshabilitar el modo de búsqueda segura.
Ya habíamos hablado anteriormente de OpenSSL, vamos a ver hoy cómo podríamos generar un certificado autofirmado. Vamos a generarlo con cifrado SHA512 y con clave RSA de 4096 bits, que se llamarán micerautofirm.key y micert.pem (el nombre lo podeís poner vosotros).
Este certificado autofirmado tiene validez por un mes. Si queréis uno para más tiempo podéis utilizar el parámetro -days y pasarle un entero con el número de días. Por ejemplo, para un año:
Desde que, como bien dijo Jon Sistiaga en más de una entrevista, «todo dios tiene un móvil» disponemos de muchas más evidencias en vídeo de hechos luctuosos, no solo ya de conflictos bélicos que era lo que él hablaba, sino también de todo tipo de delitos y agresiones más cercanos a nuestro día a día y tristemente habituales. Entre esos vídeos de delitos, como pueden ser robos, hurtos o menudeo de droga, los que más tienden a viralizarse son los que recogen agresiones físicas, normalmente a personas vulnerables como puedan ser personas dependientes, de edad avanzada o menores de edad (generalmente sufriendo abuso o bulling). Vamos a analizar ahora por qué no es bueno difundir este tipo de vídeos.
Generalmente la persona que difunde estos vídeos no lo hacen con mala intención, al contrario, el ánimo de esta gente es el de denunciar una situación abusiva, buscan que a través de la presión social la víctima pueda recibir apoyo y protección contra su agresor, la cuestión es que esa difusión no solo puede no ser la mejor manera de conseguirlo sino que también podríamos estar incurriendo en alguna falta o delito.
Uno de los puntos a tener en cuenta es que aunque creamos estar ayudando a la víctima realmente no tenemos su consentimiento para divulgar su agresión ni conocemos su opinión sobre ello. Las víctimas de estas agresiones en la mayoría de los casos se sienten, además de físicamente heridas, humilladas por su agresor, por lo que difundir el vídeo puede llegar a incrementar ese sentimiento de humillación o indefensión al ponerse al alcance de miles o hasta millones de personas, además de poder perpetuar la situación al dejar un testimonio en vídeo. Tampoco hay que obviar que aunque mucha buena gente se solidarizará con la víctima habrá también personas indeseables que, por desgracia, utilizarán el vídeo para buscar, humillar y acosar más a la víctimas.
Como decía al principio, la difusión descontrolada de una agresión puede ser más dañina para la víctima, peo también recalcaba que incluso podríamos caer en un delito contra la privacidad al hacerlo, pues la imagen de esas personas está protegida por la LOPDGDD. Aquí cito literalmente a la Agencia Española de Protección de Datos:
«Quien difunda ilegítimamente contenidos sensibles de terceros puede incurrir en distintos tipos de responsabilidades:
Responsabilidad en materia de protección de datos: la difusión de datos, especialmente si son sensibles, de una persona física (en contenidos tales como imágenes, audios o vídeos que permitan identificarla), publicados en diferentes servicios de internet sin consentimiento se considera una infracción de la normativa de protección de datos personales. Si los responsables son menores de edad, responderán solidariamente del pago de la multa sus padres o tutores.
Responsabilidad civil: por los daños y perjuicios, materiales y morales, causados. Si los causantes son menores de edad responderán de la indemnización sus padres o tutores.
Responsabilidad penal: la grabación y difusión de imágenes o vídeos sin consentimiento podrá ser constitutiva de delito, sancionable con penas de hasta 5 años de prisión.»
Además de lo mencionado arriba también habría que destacar que en muchas de estas publicaciones/denuncia se anima a los receptores a intentar identificar a los agresores para que reciban un castigo en represalia. Esto puede llevar a la que la persona que difunde o aporta datos acabe siendo cómplice de una agresión u otra campaña de acoso, esa vez dirigida contra el primer acosador. Aunque uno piense «merecido se lo tendría el agresor» hay que ver más allá, hay que pensar que las cosas pueden salirse de control y acabar derivando en represalias violentas por las que uno podría acabar frente a un juez.
¿Qué hacer en estos casos? Pues si se tienen conocimiento de una agresión recurrir a los tribunales, la fiscalía, las distintas fuerzas policiales o en caso de que sea en un centro escolar, a la dirección del mismo (cierto es que, por desgracia, muchos centros no están a la altura de la situación), aportando las pruebas recibidas. También la AEPD tiene un canal prioritario para solicitar la retirada de este tipos de materiales de las redes. Si alguien quiere usar alguno de estos vídeos como ejemplo de violencia, como material didáctico, yo diría que lo fundamental serían dos cosas: anonimizar a víctimas y agresores para que no puedan ser objeto de identificación y conseguir el consentimiento de la víctima para usarlo, aunque se hayan omitido sus datos, distorsionado su voz y/o emborronado su rostro.
Se está escuchando hablar mucho de ciberseguridad en medios que tradicionalmente no tratan el tema, pues la situación bélica derivada de la invasión de Ucrania por parte de Rusia está mostrando la importancia de la ciberseguridad y la ciberguerra en panorama actual de defensa.
Aquí ya hemos estado aclarando algunos conceptos durante los últimos meses, ahora en esta dramática fase cobran especial importancia los ataques con ransomware, la difusión de propaganda y algo de lo que no habíamos hablado: los ataques de denegación de servicio (DOS o DDOS). Estos ataques han sido muy comentados en la prensa desde ayer, dado que varias organizaciones están haciendo llamamientos a ciudadanos con conocimientos técnicos para coordinarse y lanzar esta tipo de ataques contra sitios webs gubernamentales rusos, como respuesta a las acciones bélicas contra Ucrania.
¿En qué consiste este ataque?
Un ataque DOS lo que busca es provocar la caída de un servicio de internet (como una página web, una máquina en concreto conectada a la red o un sistema de mensajería) a base de enviar un montón de peticiones a dicho servidoro una petición con una cantidad masiva de información. Este bombardeo de solicitudes, si no es detenido mediante un cortafuegos o un sistema de monitorización, provocará una ralentización del servicio que estamos atacando e incluso podría dejarlo completamente inaccesible para sus usuarios, ya sea por saturación de la capacidad de la máquina que atiende las peticiones o por saturación de la red por exceso de tráfico. En los últimos tiempos se han popularizado una variante de este tipo de ataque más difícil de bloquear, que es el ataque reflejado: esta metodología de ataque no consiste en enviar directamente un montón de información al objetivo para bloquearlo, sino en hacer varias peticiones aparentemente legítimas a muchos sitios distintos suplantando la dirección del objetivo, para que esas respuestas vayan hacia él y le saturen sin delatar las direcciones de los verdaderos atacantes.
¿Qué significa DOS y DDOS?
Ambos son acrónimos que describen este tipo de ataques: DOS sería Denial of Service (Denegación de Servicio) mientras que DDOS vendría de Distributed Denial Of Service (Denegación De Servicio Distribuído). La diferencia entre ellos es que los ataques DOS se realizan desde una única máquina o dirección IP, mientras que los DDOS son más potentes pues se sirven de múltiples equipos para lanzar su ataque, ya sea con varios atacantes coordinados o sirviéndose de una red zombie. Mientras que un ataque desde una sola IP es relativamente fácil de repeler, pues basta con bloquear o desviar el tráfico entrante de la IP atacante, el ataque distribuído es más complicado al implicar múltiples direcciones.
Llevamos un tiempo hablando de ciberseguridad y ya hemos hablado de diversas amenazas a nuestra seguridad, de propaganda y guerra informativa, de herramientas y métodos para verificar información y hasta hemos aclarado dudas sobre el uso de servicios de VPN. Cuando tratamos ese último tema algunas personas me preguntaron si la pestaña incógnito del navegador era similar a una VPN, la respuesta corta es un NO, la larga… es lo que viene a continuación.
Básicamente lo que hace el navegador cuando abrimos una pestaña de incógnito es navegar a través de Internet como si fuésemos un usuario nuevo, de esta forma no habrá cookies ya guardadas, datos de inicio de sesión, formularios web autorrellenados, información histórica de nuestra navegación, etc.
¿Para qué sirve el modo incógnito?
El modo incógnito nos dará básicamente tres interesantes funciones a la hora de navegar:
Evita que se almacenen cookies: De esta forma las webs que visitemos no tendrán permanentemente almacenados nuestros datos de inicio de sesión, o la información del dispositivo desde el que entramos. Esto es muy útil porque nos da una cierta protección antiseguimiento, ya que al no almacenar cookies las webs no podrán rastrear nuestra navegación. Ojo, porque esta protección desaparece si por ejemplo iniciamos sesión en nuestra cuenta personal, ya sea la de Google, Facebook, etc.
Ocultar el historial de navegación: Si varias personas utilizan el ordenador, por ejemplo un equipo que use toda la familia, el modo incógnito nos permite que el resto de usuarios no vean nuestra historia de búsquedas o qué páginas hemos visitado..
Usar ordenadores públicos o como invitados: Ya sea porque tengamos que pedir prestado un ordenador a alguien, ya sea porque tenemos que usar un equipo de un lugar público (biblioteca, centro social, coworking), las dos características que citamos arriba permitirán que nuestros datos no queden guardados en ese ordenador.
¿Para qué NO sirve el modo incógnito?
El modo incógnito no está pensado como una herramienta para navegación anónima, aunque nos dé una cierta protección antiseguimiento como dijimos antes. Al contrario que con una VPN, cuando navegamos en modo incógnito ni nuestra conexión está cifrada ni nuestra ubicación o dirección IP se enmascaran, por tanto el administrador de la red o nuestro proveedor de internet sí pueden ver nuestro tráfico, que páginas estamos visitando, qué estamos buscando, etc.
¿Vale la pena usar el modo incógnito?
Sabiendo para qué sirve, sí vale la pena. Mientras no iniciemos sesión en nuestras cuentas el modo incógnito nos dará una cierta protección antiseguimiento que, combinada con el uso de una VPN, mejorará nuestro anonimato a la hora de navegar. Eso sí, el modo incógnito por si solo no nos ofrece ningún tipo de invisibilidad en la red, esto hay que tenerlo presente y claro.
Hace unos meses hablamos por aquí del smishing, una técnica de fraude on-line que se sirve de mensajes sms para engañar al receptor y conseguir sus datos de acceso a algún servicio. Hoy hablaremos del vishing, que es una técnica similar.
El término vishing viene de fusionar los términos ingleses voice (voz) y phishing (como se denomina a los fraudes online que se realizan a través del engaño), esta técnica de fraude consiste en servirse de llamadas telefónicas o mensajes de voz para engañar a la víctima y conseguir acceso a su equipo o a sus cuentas. Normalmente el atacante se hará pasar por una empresa u organismo legítimo y presionará a la víctima, en estos esquemas de estafa suele meterse prisa al atacado diciéndole que tiene un tiempo limitado para responder intentando de esta forma bloquearle mentalmente, intentar que no tenga tiempo a pensar en qué está pasando.
Existen diversas variantes de este ataque, una de ellas esa la de hacerse pasar por un falso servicio técnico, a veces de Microsoft, de Apple, de Goole y otras veces de la compañía telefónica, apremiando a la víctima a instalar un software de escritorio remoto para que el atacante pueda conectarse con la excusa de ir a protegerle de un virus, realizarle un reembolso por un servicio o comprobar algún problema en la red. Una vez la víctima le haya dado acceso el atacante instalará en el equipo algún tipo de troyano que robará sus datos de acceso a distintos servicios, o puede que se sirva de un ransomware para secuestrar sus ficheros y cobrar una extorsión. Otra variante de esto es hacerse pasar por la policía diciendo que el ordenador se ha utilizado para un delito informático y solicitando acceso remoto al mismo para investigar, suena bastante surrealista pero he conocido un caso directamente de una persona que lo sufrió.
Otra variante de este fraude muy utilizada es cuando el atacante se hace pasar por un empleado de Hacienda o del banco y llama a la víctima para solicitar algún dato para confirmar alguna operación o pedirle acceso a sus credenciales, generalmente presionándola diciendo que tiene que realizarse la acción en pocos minutos. Después utilizarán esos datos para saquear las cuentas bancarias de la víctima. Esta estrategia suele usarse en ocasiones combinada con el smishing: se envía un sms para robar las credenciales de la víctima y luego se le llama haciéndose pasar por alguien del banco, para que revele el código que le habrán enviado como segundo factor de verificación de la operación.
¿Cómo nos protegemos?
Bueno, como ya hemos visto en algunos casos previos, poca defensa tecnológica hay ante estos ataques pues se trata de lo que llamamos «ingeniería social». No existe un software que nos proteja pues en este caso se trata de usar subterfugios para engañarnos y que demos nosotros acceso a los atacantes. La única defensa depende de que no demos los datos, por lo que es importante ser consciente de que estos ataques suceden habitualmente, debemos buscar formas de verificar con quien estamos hablando, es importante desconfiar si nos presionan para hacer algo demasiado rápido y sobre todo no dar datos bancarios por teléfono. Tampoco debemos permitir el acceso remoto a nuestro equipo a un servicio técnico si no lo hemos llamado nosotros, es improbable que una compañía nos llame para solucionar una avería si no se la hemos comunicado, como también es improbable que el banco nos llame para pedirnos un código que nos han mandado ellos mismos. Lo habitual es que tengamos que llamar nosotros y que no nos llamen ellos. Una cosa fundamental: los códigos de verificación que recibas por teléfono nunca se los des a nadie, ya que si te llaman para pedirte uno al momento de recibirlo probablemente es alguien que intenta saltarse una verificación de dos factores sobre alguna de tus cuentas (confirmar una operación del banco, acceder a tu cuenta de google o de whatsapp..).
El término sharenting es un neologismo inglés que combina las palabras share (compartir) y parenting (paternidad o crianza). En cualquier caso, el término hace referencia a la tendencia que algunos padres tienen de colgar vídeos y fotos de sus hijos en redes sociales de forma masiva, por lo que en castellano podríamos traducirlo como «sobreexposición de los hijos» (Hay que reconocer a los angloparlantes lo flexibles que son para crear palabros) . Aunque el término haga referencia a padres en los últimos tiempos también he visto a profesores realizar este tipo de prácticas, subir fotos o vídeos de sus alumnos de una forma masiva y descontrolada a las redes, sin pensar en las consecuencias que esto pudiera tener.
¿Es subir cualquier foto de nuestros hijos sharenting? Bueno, como decía Paracelso «la dosis hace el veneno«, el concepto hace referencia a una difusión masiva por lo que no hay una cifra exacta que podamos considerar peligrosa, además puede ser más perniciosa una sola foto que se vuelve viral y se comparte miles de veces que 400 que no obtienen difusión, por tanto para prevenir caer en el sharenting tenemos que controlar no solo el cuánto, sino también el qué y el cómo. Es importante tener conciencia de que lo que publicamos configurará nuestra huella digital y nuestra indentidad digital de cara al futuro, por lo que si compartimos fotos de nuestros hijos estamos afectando a su futura identidad, casi siempre sin su permiso. Según un estudio de 2017 de la consultora británica expecializada en comunicación Ofcom solo un 15% de los padres se preocupaba de qué podrían pensar en el futuro sus hijos sobre lo que han subido a las redes, tengo esperanzas en que este porcentaje haya subido en el último lustro gracias a una mayor alfabetización digital.
También entra aquí en cuestión el derecho a la privacida de los menores: si bien es cierto que la persona responsable del menor puede limitar la exposición del mismo en medios públicos, para proteger así su privacidad, esto no funciona a la inversa. Es decir, puede limitar lo que se publica de un menor porque es el responsable de su tutoría y por tanto de que sus derechos se respenten, pero no puede publicar todo lo que quiera.
¿Qué riesgos pueden entrañar?
El riesgo más habitual suele ser que el menor sienta vergüenza por ver su imagen expuesta sin tener control sobre la misma. En determinados casos eso puede derivar en problemas de preocupación, generar desconfianza hacia las figuras de sus progenitores e incluso llegar a causar cuadros de ansiedad. Esta sobreexposición también puede provocar que el niño sea víctima de bullying, pues algunos de sus compañeros podrían servirse de esos contenidos como pretexto para la burla o la humillación. Además existe el riesgo de que la imagen se viralice a través de redes sociales o sistemas de mensajería y que podrían llevar a que el menor se convierta en un meme o chiste recurrente en internet, agravando esa sensación de indefensión y humillación cuando sea consciente de ello, e incluso pudiendo ser víctima de cyberbulling, gente que se ría de él o le insulte abiertamente en publicaciones relacionadas con esa imagen.
Además del riesgo sobre la salud mental del menor también existen diversos riesgos relacionados con su seguridad:
Fraude: Según un estudio del banco Barclays, dentro de un década se multiplicarán los casos de fraude en los que el estafador habrá obtenido los datos de su víctima de fuentes como redes sociales, aprovechando estas publicaciones masivas durante su infancia, ya que de estas fotos se pueden extraer datos como fechas de cumpleaños, dirección, centro de estudios… Conociendo sus intereses, gustos, pasado… podrá más facilmente elaborar la estafa.
Robo de identidad: Asociado a lo señalado en el punto anterior, el mismo estudio auguraba también un aumento de los problemas de suplantación y robo de identidad vinculados al material conseguido a través de publicaciones realizadas por padres periódicamente. Realmente el robo de identidad no es un problema exclusiva de la prácticas de sharenting ,sino que es algo a lo que uno se expone al compartir su imagen en las redes, pero en este caso la víctima no tendría control sobre lo que se publicó. Además, el conseguir imágenes de distintas etapas de la vida de la persona suplantada ayudará al estafador a crear un perfil más sólido.
Circulación en páginas no deseadas: En una gran cantidad de juicios por tenencia y distribución de pornografía infantil se ha detectado que muchas de esas imágenes se habían conseguido a través de redes sociales. Fotografías o vídeos en los que los progenitores no ven nada inadecuado, pero que para un pederasta resultan material pornográfico.
Dar información para personas que quieren acercarse al menor de forma inapropiada: lo pongo de forma muy genérica porque aquí podría englobar varias actitudes peligrosas para el menor. Aunque siendo realistas, las posibilidades de que el menor sea por ejemplo víctima de un secuestro, o víctima de una agresión como venganza hacia sus progenitores, por suerte son bastante bajas en la mayoría de los casos, aunque «Sé dónde estudian tus hijos» sigue sonando como una de las amenazas más terribles que se puedan proferir. Un peligro más plausible es el «grooming«, una forma de acoso a través de redes realizada por una persona adulta hacia un menor con fines sexuales de la que ya hablamos. La sobreexposición del menor puede hacerle blanco de estos acosadores, revelarles datos de forma no intencional (que se pueda sacar la dirección, centro de estudios, etc analizando las imágenes) o hasta darles material para extorsionar al menor (fotos o vídeos que le resulten vergonzosos).
Consejos para prevenir problemas.
Cuando el menor tenga edad para ser consciente del posible impacto de las fotos consúltale y pídele permiso antes de publicar, aunque esto no asegure que no habrá futuros problemas sí ayudará a no provocar sensación de desconfianza o desprotección en el menor. No sentirá ansiedad por si se publican imágenes sin su consentimiento y reforzará su confianza si tiene que pedir ayuda en caso de bulling o grooming.
Comprueba las políticas de privacidad del servicio donde las estés compartiendo para asegurarte de que no harán un uso inadecuado de las mismas.
Comprueba los metadatos de la imagen para no enviar información como la ubicación geográfica. Elimínalos siempre si ves que hay algo que pueda revelar información.
Aparte de los metadatos comprueba también que las fotografía no revele la dirección o el centro de estudios del menor por cualquier elemento que pueda verse en ella (un portal, el propio centro, un uniforme…)
Nunca subas una foto de un menor sin ropa, aunque te parezca que es una inocente foto jugando en la playa puede que resulte de interés a un pedófilo.
Piensa en el recorrido que puede tener lo que subas, evidentemente no es lo mismo enviar por Whatsapp una foto a la abuela del menor que subir un vídeo a Youtube donde lo puede ver todo el mundo. Incluso aunque lo mandes a una persona de una forma no masiva esta podría después resubirla o reenviarla a otra gente, así que si le envías algo a alguien recuérdale siempre que no lo comparta a lo loco ni lo suba a sus redes.
Piensa en la repercusión que para el menor puede tener que esa imagen sea pública. Lo que tú puedes estar viendo como una graciosa actitud infantil y un recuerdo entrañable, para un compañero malintencionado de clase puede ser una nueva forma de humillar o insultar al menor.
Piensa en si merece la pena compartir esa imagen. No digo que no puedas compartir de vez en cuando una foto de tus hijos, en el contexto adecuado, pero plantéate quién la verá, si es oportuno, qué aporta y qué riesgos implica.
Siguiendo con la serie de entradas sobre ciberseguridad vamos a hablar hoy sobre conexiones VPN, ya que seguramente has visto en los últimos tiempos muchos anuncios de distintas empresas que ofrecen este servicio. Antes de que lo preguntes, no te recomiendo usar ninguna gratuita, al menos si tu intención es usarla para mejorar tu seguridad.
Empezando por lo básico ¿Qué es una VPN?VPN es el acrónimo de Virtual Private Network (Red Virtual Privada en castellano) y nombra a una tecnología que nos permite unir varios equipos como si estuvieran en una red interna (LAN), pero a través de una red pública como internet. Lo que generalmente ves anunciado cuando te ofertan una VPN son servicios de empresas, que te venden una aplicación para que navegues a través de su configuración VPN con tráfico cifrado y de sus servidores, que para darte mayor seguridad funcionarán como servidores proxy.
¿Para qué sirve una VPN?
Uno de los usos más habituales de esta tecnología es acceder remotamente a la red de una organización como si se estuviera trabajando conectado a la red local. Pensemos en un empleado que teletrabaje y necesite acceder a una serie de documentos que están en un servidor de la empresa, mediante una VPN podría acceder a ellos aunque esté en la otra punta del planeta. También podría servirnos para acceder al NAS de nuestra casa si estamos de viaje, conectándonos desde nuestro hotel. Para este uso muchas empresas no contratan un servicio externo y simplemente configuran una VPN en su red y sus servidores, para que sus trabajadores puedan acceder remotamente de forma segura.
Las VPN suelen tener un cifrado fuerte, así que también son una buena alternativa para añadir una capa de seguridad a mayores si estamos navegando en una red abierta que no sea muy confiable (la wifi de un bar o de un aeropuerto, por ejemplo). Si tienes que acceder a una web que requiere autenticación (usuario y contraseña, por ejemplo la web de tu banco) y estás conectado a una de estas wifis, el uso de una VPN ayudará a evitar que un delincuente pueda capturar nuestros datos de navegación o incluso que pueda redirigirnos a una web fraudulenta, todo eso gracias a la capa de cifrado y a la configuración de las DNS de la VPN, es lo que se llama túnel de datos.
Otro de los usos habituales de una VPN es saltarse bloqueos regionales. A veces un contenido on-line no está disponible en nuestro país, puede ser por una cuestión de censura (el gobierno del país no quiere que sus ciudadanos accedan a esa información) o puede ser por una cuestión de negocio (se trata de un producto comercial y sus derechos no están disponibles en el país), pero el resultado es que no podemos acceder a dichos datos. Cuando una web se bloquea para una región la responsabilidad del bloqueo recae en los proveedores de Internet ¿Cómo funciona esto? Al usar estos servicios de VPN nuestra salida a internet se hace a través de un servidor proxy, explico con más detalles: cuando navegamos de forma normal nuestro equipo se comunica con el router, que pide a nuestro proveedor que nos haga llegar la información que solicitamos y este es el que decide si nos la envía o no. Si navegamos a través de una VPN lo que hacemos es decirle a nuestro proveedor que nos conecte al servidor proxy de dicha VPN, generalmente las empresas nos darán a elegir varios servidores en distintos países, y en este caso es el servirdor quien pedirá a su proveedor de internet esa información que luego nos enviará cifrada. Como la petición no se hace desde nuestra IP, sino desde el servidor proxy a través del que navegamos, estaríamos sometido a los bloqueos regionales del proveedor del país donde se encuentra ese servidor y no de los del nuestro. Por ejemplo, cuando no había Netflix en España había gente que se hacía una cuenta en el Netflix de EEUU, si intentaba acceder sin VPN recibían un mensaje informándoles de que el servicio no se encontraba disponible en su país, en cambio si usaban una VPN que tuviera en servidor en los EEUU podían acceder como si estuvieran allí.
¿Para qué NO sirve una VPN?
En algunos anuncios de servicios VPN he leído «Aumenta tu velocidad de conexión«, así en letras grandes que harán pensar al potencial cliente que si contratan esa VPN su conexión a internet será más rápida. Todo lo contrario, las VPN no aumentan la velocidad sino que la ralentizan al tener que cifrar los datos y al tener que pasar la información por más nodos. Tampoco es que estos anuncios sean un timo, normalmente la letra pequeña suele aclarar que lo de «Aumenta tu velocidad…» se refiere a que es más rápida que otras VPN de la competencia (las VPN gratuitas suelen ser especialmente lentas).
A muchos os sorprenderá pero otra cosa para la que no sirve una VPN es para garantizar nuestro anonimanto en la red. La mayoría de los anuncios prometen eso, «navega de forma anónima«, pero esto no es realmente así, o más bien no es es exactamente así. Como ya comentamos antes, al navegar a través de una VPN nuestras peticiones hacia internet salen desde el servidor de la misma y la comunicación con dicho servidor desde nuestro equipo está cifrada, lo cual tiene varios efectos: como ya comentamos antes, nuestro proveedor no puede saber qué estamos viendo en Internet, también nos protege de ser espiados dentro de nuestra propia red y además hará que el servicio al que accedamos no pueda ver nuestra IP y los datos que pueden sacarse de ella (como proveedor de internet o ubicación), pues lo que verá será la IP del servidor proxy al que nos conectamos. Lo citado es todo el «anonimato» que nos puede dar la VPN, tenemos que ser conscientes de varios puntos: la VPN no nos da ninguna garantía ante cookies de rastreo, para eso tendríamos que recurrir mejor a las pestañas de navegación anónimas de nuestro navegador. Además, el servidor de la VPN puede registrar nuestro tráfico, la privacidad en una VPN no viene por el diseño y las medidas técnicas de la misma sino por sus políticas de empresa y por las obligaciones legales, muchas VPN gratuitas se financian vendiendo esos datos de navegación de sus usuarios y en caso de requerimiento judicial pueden identificar a un usuario. Comento a mayores que he visto a gente usar una VPN para luego entrar en su cuenta de Youtube o Facebook creyendo que de esa forma esos servicios no pueden saber qué hacen, otro error, con tu cuenta conectada estarán registrando tu actividad por mucha VPN que uses.
¿Merece la pena contratar una?
Pues depende ya de cada usuario valorar si merece la pena contratarla. Desde luego una VPN es una buena herramienta para el teletrabajo, en algunos casos incluso esencial. También nos da un extra de seguridad si tenemos que conectarnos habitualmente, por el motivo que fuere, a través de redes poco confiables. Si lo que buscas es anonimato en ese caso la VPN, como ya hemos visto, no te lo garantiza. Si hacemos caso a Snowden lo mejor sería combinar VPN+Red TOR para esto. Como ya hemos comentado antes, algunos servicios gratuitos son muy lentos y comercian con los datos de navegación de los usuarios, así que lo más recomendable si quieres una VPN es un servicio de pago.
«De tu cólera nacerá Europa, pero para que nazca Europa, tú tienes que morir en Troya«. Como vamos a hablar de Troyanos empiezo citando una frase de La Cólera de Santiago García, uno de los mejores guionistas de tebeos españoles y una obra flipante con un dibujo de Javier Olivares tremendo, pero aunque me encante charlar de tebeos y aunque la obra de Homero sea fundamental en el desarrollo de la cultura literaria europea y occidental no serán La Odisea o La Ilíada lo que hoy nos ocupe, aunque tenga un poco que ver.
Decía que tienen un poco que ver porque este tipo de malware originalmente se denominaba Trojan Horse (Caballo de Troya, después abreviado a simplemente Trojan), en referencia a la estrategia de Odiseo para tomar la ciudad: camuflar a sus soldados dentro de una estatua y dejarla como regalo. Al igual que aquellos griegos, los troyanos se ocultan dentro de un software en apariencia legítima para infectar a tu equipo, algo de lo que ya hemos hablado en las entradas sobrerogueware o sobreapps maliciosas. Se dice que el primer troyano conocido, si nos fiamos del libro At the Abyss: An Insider’s History of the Cold War de Tomas C.Reed (ex-asesor de Reagan en materia de seguridad nacional), fue uno introducido por la CIA en 1982 en un software canadiense diseñado para controlar el sistema de un gasoducto y que se esperaba que fuese robado por espías rusos para usarlo en el gasoducto transiberiano, que proveería gas a varios países europeos y al que EEUU se oponía por su antagonismo hacia la URSS y también por su tradicional alianza con la monarquía marroquí. El resultado de dicho ataque informático habría sido una enorme explosión seguida de un gran incendio, sin víctimas mortales humanas directas pero con terribles efectos sobre la economía soviética, dejando inhabilitado el gaseoducto durante meses. Añado que la CIA no ha confirmado en ningún momento la historia de Reed ni figura en documentos desclasificados, mientras que desde el lado ruso hay división de opiniones sobre si hubo o no sabotaje.
Generalmente las infecciones por troyanos suelen producirse por descargar ficheros que nos llegan en correos maliciosos o por utilizar software descargado de fuentes no fiables. Como siempre recomiendo y repito porque soy un viejo cascarrabias: tened cuidado antes de abrir nada que se reciba por correo/mensajería instantánea, preguntad al remitente siempre antes de abrir nada. Descargad el software siempre desde el sitio del fabricante. Tener un antivirus actualizado nos ayudará a prevenir muchos de los ataques también, aunque no pueda garantizar una protección del 100% si se trata de una vulnerabilidad nueva sí nos ayudará contra amenazas ya conocidas.
Keyloggers, backdoors y stealers:
Sobre el ramsonware, el malware que secuestra tus ficheros cifrándolos, ya hablamos largo y tendido en su propio artículo, así que no me explayaré y veamos los otros tres tipos de troyanos más habituales:
Keyloggers: un keylogger es un programa que captura todas las señales que el equipo recibe del teclado, almacenándolas en un fichero y enviándolas en algún momento al atacante. Su principal utilidad es descubrir pares de usuarios y contraseñas entre los textos tecleados. Os comentaré que este tipo de ataque además de a través de un troyano también se puede realizar mediante un hardware específico. Si descubrimos que hemos sido infectados por uno lo mejor es que, tras limpiar el equipo con un anti-malware, cambiemos nuestras contraseñas por si acaso, también es interesante tener activada la autenticación en dos pasos en nuestros servicios web para evitar que puedan acceder solo con la contraseña.
Backdoors: una backdoor, puerta trasera en castellano, es un software que da acceso remoto a nuestro equipo a un atacante si que seamos conscientes de ello. Esto le permitirá hacer cualquier tarea sirviéndose de nuestro equipo.
Stealers: un stealer, en castellano ladrón, es un software diseñado para robar información almacenada en nuestro equipo, como puedan ser credenciales de acceso a algún servicio web, números de tarjeta de crédito, etc. Los consejos que os daré si habéis sido infectados son los mismos que con el keylogger, tras desinfectar el equipo con algún anti-malware el cambio de contraseñas será fundamental. De nuevo insisto en la autenticación de dos factores para tener un extra de protección ante el robo de contraseñas.
DonnierocK 