Nos movemos como peces en el agua en Internet. Sin embargo a veces no somos conscientes de que nadamos entre tiburones, y pensamos que todo lo que vemos y hacemos se encuentra en una especie de dimensión paralela que no nos puede afectar en la tranquilidad de nuestros dispositivos y hogares. De la misma forma […]
Nos movemos como peces en el agua en Internet. Sin embargo a veces no somos conscientes de que nadamos entre tiburones, y pensamos que todo lo que vemos y hacemos se encuentra en una especie de dimensión paralela que no nos puede afectar en la tranquilidad de nuestros dispositivos y hogares.
De la misma forma que evoluciona la informática con los avances de Internet, también lo hacen las amenazas de seguridad, y no podemos dejar de estar preparados ante ello. Desde éste y otros medios de información intentamos ofreceros consejos y utilidades siempre que podemos, pero también existe una vía pública para aprender a estar más seguros y resolver nuestras dudas en este aspecto: la OSI (Oficina de Seguridad en Internet).
Se trata de un servicio ofrecido por el gobierno de España y puesto en marcha por elINTECO (Instituto Nacional de las Tecnologías de la Comunicación). A través de su web podemos descubrir consejos de seguridad y nuevas amenazas, realizar talleres sobre nuevas tecnologías y aprender del conocimiento de los usuarios en estas materias.
Susana de la Fuente, Coordinadora del departamento de Operaciones de la OSI, se ha ofrecido a contestar nuestras preguntas. Esperamos que sean tan útiles para vosotros como lo han sido para nosotros:
PortalProgramas: ¿Cuáles son las consultas más frecuentes que os hacen los internautas?
Susana de la Fuente: Las consultas que recibimos en la Oficina de Seguridad del Internauta de INTECO giran en torno a tres temas, principalmente:
En primer lugar, los usuarios demandan información para protegerse frente al malware. Esto ocurre especialmente cuando se detectan campañas virulentas y masivas, como ha sido el famoso «virus de la Policía» en sus múltiples variantes.
En segundo lugar, recibimos numerosas consultas sobre suplantaciones de identidad y secuestro de perfiles en redes sociales. En estas situaciones, alguien se ha apoderado de la contraseña de la cuenta y la ha modificado, de manera que el usuario legítimo pierde el control sobre su cuenta.
Por último, los internautas nos piden información sobre situaciones de fraude onlineen sus múltiples variantes: desde e-mails reclamando una cantidad de dinero para, por ejemplo, hacer efectivos sus derechos sobre una herencia en un país extranjero (la típica carta nigeriana aplicada al mundo digital), hasta personas que han comprado algún producto a través de una web dudosa y no llegan a recibir la mercancía.
En cualquier caso, el contenido de las consultas que recibimos es muy heterogéneo. Dado lo cambiante del entorno tecnológico, constantemente aparecen nuevas temáticas de interés para los usuarios, que nos ayudan a comprender las preocupaciones de los ciudadanos en ciberseguridad.
¿Consideráis que la mayoría de los usuarios están bien preparados contra las amenazas de Internet?
Somos los usuarios quienes debemos asumir la responsabilidad de la seguridad de nuestros equipos, y los datos confirman que estamos razonablemente protegidos. El Estudio sobre la seguridad de la información y la e-confianza de los hogares españoles muestra que 9 de cada 10 usuarios de Internet españoles tienen instalado unantivirus, y 8 de cada 10 tiene actualizado el sistema operativo de su equipo. Son datos positivos que nos permiten concluir que la sensibilidad del ciudadano hacia la ciberseguridad va consolidándose.
A este mensaje optimista hay que añadir una puntualización. La seguridad total no existe, y por tanto nunca se está 100% preparado frente a las amenazas de Internet. Los malos se están aprovechando cada día de vulnerabilidades, que en muchas ocasiones no son todavía conocidas por los fabricantes y por tanto no se han solucionado, para introducir malware. Es importante que los ciudadanos sean conscientes de esta realidad y que estén pendientes de los avisos de seguridad y actualizaciones.
La seguridad total no existe, y por tanto nunca se está 100% preparado frente a las amenazas de Internet.
¿Cuales son los engaños en los que suelen caer más fácilmente los usuarios?
Los mismos engaños en los que caen fuera de Internet. La curiosidad del usuario es el principal cebo del que se aprovechan los atacantes a la hora de poner en circulación sus amenazas. Así, detrás de programas tan sugerentes como ¿Quieres saber quién ha visitado tu perfil en Facebook? o Espía conversaciones en Whatsapp, se esconden en realidad piezas de malware o suscripciones a servicios SMS Premium.
Además de la curiosidad, las gangas irresistibles para el usuario son otro gancho que utilizan los atacantes. Por ejemplo, anuncios en los que se vende un producto a un precio muy inferior a su valor de mercado. El usuario (víctima) piensa que está adquiriendo un chollo, cuando en realidad puede tratarse de una estafa, ya que la mercancía nunca llega a su domicilio. U ofertas de trabajo en las que el trabajo consiste, simplemente, en recibir transferencias bancarias y reenviarlas a otras cuentas, percibiendo una cantidad por la intermediación. En estos casos, el usuario (coloquialmente llamado mulero) está contribuyendo a blanquear dinero procedente de actividades delictivas. El consejo a los usuarios es aplicar el sentido común: comprar en sitios fiables y desconfiar de precios anormalmente bajos.
Sin embargo, a pesar de estos consejos, hay situaciones en las que se hace muy difícil para el internauta saber que está siendo engañado. En los casos más recientes de phishing, los atacantes reproducen de manera muy fiel las páginas originales de las entidades suplantadas. Nada que ver con los primeros casos de phishingbancario, donde los errores ortográficos o gramaticales y las traducciones incorrectas hacían sospechar de su ilegitimidad. Por eso insistimos una vez más en que es importantísimo que el internauta esté al día de la actualidad en ciberseguridad, para poder identificar y combatir los riesgos.
Ahora los menores pueden acceder a Internet y las redes sociales desde plataformas móviles, incluso desde el colegio. ¿Cómo podemos controlar este acceso y educarlos para que aprendan a configurar bien su privacidad?
Esta es una pregunta que permite muchas respuestas, ya que el nivel de supervisión dependerá de la edad de los menores, de su grado de madurez y de hasta qué punto quieran intervenir los padres en la navegación de sus hijos.
En general, es imprescindible el establecimiento de unas normas o pautas de uso de forma consensuada entre padres e hijos. Periódicamente, se pueden comentar o revisar estas normas para adaptarlas a los posibles avances de la tecnología y al propio desarrollo del menor. Algunos de los aspectos que deben abordar estas reglas son los lugares y tiempos de utilización, así como los tipos de usos (juegos, aplicaciones, etc.).
Al establecer estas normas, los adultos se están implicando en la vida digital de sus hijos. Se recomienda evitar la prohibición como reacción ante la incidencia de alguna de las situaciones de riesgo. Es más importante educar en la responsabilidad.
Además de estas pautas de carácter general, existen herramientas de control parentalque evitan el acceso a contenidos inadecuados para los menores y permiten monitorizar la navegación del menor. Queda al criterio de los adultos utilizar este tipo de herramientas, en función de la edad del menor y del tipo de «control» que deseen ejercer sobre sus hijos.
En cualquier caso, más allá de las herramientas, lo fundamental es que los padres sean conscientes de lo que se puede hacer en la red, que conozcan y comprendan las situaciones a las que se pueden enfrentar los menores. El conocimiento objetivo y realista de los riesgos que pueden sobrevenir en la utilización de la tecnología es imprescindible para poder reconocerlos y combatirlos. La educación ocupa un papel clave, y por eso INTECO apuesta por una responsabilidad en el uso de la tecnología y un conocimiento de los riesgos potenciales como base para aprovechar los beneficios que aporta la tecnología al menor.
…lo fundamental es que los padres sean conscientes de lo que se puede hacer en la red
Hace poco conocimos una vulnerabilidad del sistema Android que permitía instalar programas que se hacían pasar por otros más populares desde fuera de Google Play. ¿Qué consejos nos dais para evitar este riesgo? ¿Creéis que no existe ningún motivo que justifique el instalar apps desde fuera de las tiendas oficiales?
Efectivamente, hace pocas semanas se ha hecho pública una vulnerabilidad en Android, que permitiría a un hacker convertir cualquier aplicación legítima en un programa troyano.
Desde la OSI, las recomendaciones que hacemos para evitar este riesgo son las habituales en estos casos: instalar algún softwareantivirus en el teléfono (es de esperar que los antivirus para Android incorporen a su base de datos de virus los códigos maliciosos que vayan apareciendo); descargar las aplicaciones de Google Play, o de la página web del desarrollador; desconfiar de aplicaciones con funcionalidades espectaculares y gratuitas; consultar las opiniones de los otros usuarios (si tiene 10.000 comentarios, mejor que si solo tienen 10); y fijarnos en cuánto tiempo llevan en el mercado (las probabilidades de que sea un aplicación maliciosa son mayores si son muy recientes).
No obstante, dadas las características particulares de esta amenaza, es muy complicado estar a salvo de este tipo de infecciones, así que también hemos de hacer comprobaciones periódicas de ciertos valores de nuestro teléfono para tratar de buscar indicios de una actividad inusual como puede ser el volumen de datos consumido o SMS enviados.
¿Que opináis del jailbreak y el root en móviles? ¿Los usuarios deberían poder controlar del todo su sistema o tendrían que tenerlo limitado por su seguridad?
El jailbreak y el rooteo no dejan de ser fórmulas de desprotección que, si bien permiten al usuario realizar ciertas acciones en su smartphone (por ejemplo, instalar y desinstalar las apps que deseen o cambiar la versión del sistema operativo), constituyen una práctica de riesgo.
Hay que tener en cuenta que un smartphone al que se le ha practicado un jailbreak o un rooteo puede perder la garantía de fábrica. Además, los fabricantes mencionan que puede comportar riesgos de inestabilidad, acortamiento de la vida de la batería, disminución del rendimiento y problemas en actualizaciones futuras. El ciudadano debe ser consciente de todas las implicaciones antes de decidir emplear estas técnicas.
Los falsos positivos de los antivirus pueden hacer que algunas webs o programas generen mucha desconfianza a los usuarios. ¿Creéis que los antivirus deberían evitar este exceso de celo para no provocar perjuicio en la imagen de otros?
La razón de ser de los antivirus es proteger nuestros equipos y nuestros datos, un trabajo que resuelven correctamente. Es cierto que, en su afán por localizar todo tipo de malware, en ocasiones detectan como contenido malicioso programas que en realidad no lo son, lo que se conoce como falso positivo. Debemos entender que encontrar el equilibrio entre sensibilidad para identificar cualquier espécimen malicioso y precisión para evitar falsos positivos no es tarea fácil, y en este sentido la industria antivirus lo está haciendo con solvencia.
También hemos conocido situaciones que el usuario percibe como un falso positivo y es, en realidad, una detección correcta. Se trata normalmente de páginas reputadas y legítimas que, en un momento dado, pasan a ser detectadas como peligrosas por haber sido comprometidas de manera puntual.
En cualquier caso, nuestra recomendación ante la sospecha de un falso positivo espedir una segunda opinión a alguno de los muchos analizadores online gratuitos de archivos y URLs.
Cada vez más datos y aplicaciones se guardan en los servidores «en la nube» de las compañías. Está claro que esto tiene sus ventajas, pero ¿Esto es lo más seguro? ¿Qué recomendáis para garantizar que no se borrarán nuestros datos y que estarán a salvo de miradas indiscretas?
La nube proporciona indudables ventajas al usuario, que puede acceder a sus documentos de manera cómoda desde cualquier dispositivo en cualquier lugar con acceso a Internet.
Esto plantea retos de cara a la seguridad y privacidad de la información, como bien apuntas. ¿Es lo más seguro? Los proveedores de cloud están invirtiendo muchos esfuerzos en proteger sus servidores ante cualquier ataque y adoptando medidas de seguridad mucho más exigentes que las medidas razonables que tiene instaladas un usuario doméstico. En este sentido, podemos confiar en que las técnicas de seguridad que aplican los proveedores de cloud son cada vez más estrictas… pero está claro que los ciberataques pueden producirse.
Nuestra recomendación en este caso es aplicar la prudencia: mantener copias de seguridad en distintos lugares, en función de la naturaleza y sensibilidad de la información, ser especialmente cauteloso con información confidencial y combinar la nube con dispositivos de almacenamiento clásicos.
La industria audiovisual en Internet quiere beneficios y un entorno regulado y los consumidores precios bajos y libertad en Internet. Entre ellos hay webs de enlaces y programas piratas que muchas veces contienen todo tipo de malware e intentos de estafa. ¿Cómo creéis que se puede hacer que los usuarios prefieran contenidos seguros de pago en vez de contenidos gratuitos pero no seguros?
El ciudadano demanda contenidos seguros, ya sean éstos de pago o gratuitos. En este sentido, las investigaciones llevadas a cabo por INTECO muestran que 3 de cada 10 muestras de software sin licencia de uso descargadas de sitios web de intercambio de archivos contienen algún tipo de malware (datos procedentes delEstudio sobre riesgos de seguridad derivados del software de uso no autorizado).
Frente a esta situación, las recomendaciones de INTECO son: utilizar software con licencia (sea gratuita o de pago) y obtener software procedente sólo de fuentes fiables, además de instalar medidas de seguridad en los equipos y mantener actualizados los programas.
El ciudadano demanda contenidos seguros, ya sean éstos de pago o gratuitos
Esto de la seguridad en Internet cambia constantemente con nuevas posibilidades y nuevas amenazas… últimamente parece que la privacidad es el talón de Aquiles, y los usuarios necesitan saber cómo mantener sus datos en privado y evitar que les roben información sensible. ¿Podríais darnos 3 consejos a este respecto que los usuarios deberían de tener en cuenta siempre?
Existe una indudable preocupación por la privacidad entre los usuarios de Internet, que deben mantener el equilibrio entre información personal disponible en Internet y respeto a su privacidad. Si tuviésemos que dar solo tres consejos para que los usuarios cuiden por su privacidad online serían estos:
- 1) Reflexiona antes de publicar datos personales en Internet, tanto si son tuyos como si se refieren a otras personas. Una vez lo hagas es muy probable que queden fuera de control.
- 2) Controla tu lista de contactos. Configura las opciones de privacidad de tu perfilde manera adecuada y define quiénes de entre tus contactos pueden acceder a la información que publicas.
- 3) Lee y comprende las políticas de uso y privacidad de los diferentes servicios y aplicaciones antes de utilizarlos. Puede ser un trabajo tedioso, pero cada uno de nosotros somos responsables de nuestros datos y por ello debemos ser conscientes de las condiciones que estamos aceptando al proporcionar nuestra información en estos servicios.
Hasta aquí nuestra entrevista a Susana de la Fuente, Coordinadora del departamento de Operaciones de la OSI, a la que agradecemos la claridad y relevancia de sus respuestas.