10 formas de reforzar tu privacidad en internet
- Fecha: 07 December, 2021
Internet no es un lugar seguro. Varios gobiernos vigilan una parte importante de las actividades basadas en Internet bajo la bandera de proteger a sus ciudadanos de los terroristas u otros adversarios. También hay grupos de APT (amenazas persistentes avanzadas) que buscan activamente el acceso a sus comunicaciones, datos personales/privados y cuentas en línea.
Tenemos que reevaluar lo que significa estar seguros en nuestras actividades en línea. Es esencial ser claro y distinto cuando se habla de seguridad. La seguridad no es un concepto, una solución o un estado singular.
Es una combinación de numerosos aspectos, implementaciones y perspectivas. La seguridad suele ser un término relativo con niveles graduados más que un estado final que un individuo u organización puede alcanzar con éxito.
En otras palabras, un sistema no es seguro; siempre está en un estado de seguridad. No hay sistemas que no puedan ser comprometidos. Sin embargo, si la seguridad de un sistema es más difícil de superar que la de otro, los atacantes podrían centrarse en el sistema más fácil de comprometer.
A la hora de enfrentarse a la tarea de asegurar las actividades en línea, hay que tener en cuenta varios aspectos específicos de la seguridad y aplicar tecnologías que puedan proporcionar una mejor protección.
La seguridad en línea debe abordar al menos dos cuestiones comúnmente mal entendidas:
- La privacidad
- El anonimato
La privacidad es la protección de la información sobre uno mismo contra la recopilación sin conocimiento o consentimiento. En general, la privacidad es la capacidad de proteger la confidencialidad.
El anonimato consiste en poder comunicarse sin revelar la propia identidad. Otra forma de ver estos dos términos es:
Con la privacidad, los demás no pueden ver lo que estás haciendo o comunicando, pero pueden saber quién eres.
Con el anonimato, los demás pueden ver lo que haces o lo que comunicas, pero no saben quién eres.
Estos dos conceptos a menudo se malinterpretan. Normalmente, queremos tanto la privacidad como el anonimato. Pero, por desgracia, no solemos tener ninguna de las dos cosas en relación con nuestras actividades en línea, a menos que tomemos medidas deliberadas para protegernos y asegurar nuestros datos.
Al considerar las opciones de seguridad en línea, siempre hay que tener un objetivo o propósito para la seguridad. Los accidentes, los códigos maliciosos, los piratas informáticos malintencionados, los gobiernos y las empresas pueden considerarse amenazas para la seguridad en línea.
Sólo con un objetivo específico en mente puede elegir las mejores respuestas. Sabiendo lo que se quiere evitar, se puede comprobar si esa actividad puede seguir ocurriendo después de aplicar una solución de seguridad.
Aquí van 10 maneras de mejorar su privacidad mientras navega por la web:
Utilizar una VPN
No hay ningún lugar totalmente seguro en Internet. Todo puede ser hackeado por alguien. Pero el peor lugar es tu conexión local.
La conexión que utilizas para llegar a Internet es el eslabón más sensible de tu cadena de conectividad. Todos los datos que pasan por su conexión local a Internet están definitivamente relacionados con usted, ya que son enviados por usted o solicitados para su recuperación.
Este eslabón inicial es también el lugar en el que los ataques de suplantación de DNS, los ataques de ataque en el medio, los ataques de sniffing y los ataques de secuestro son más efectivos y están dirigidos (a usted).
¿No está familiarizado con estos términos? Consulte nuestro Glosario de Términos de Ciberseguridad.
Aquí debe adquirir el hábito de protegerse. Todas mis otras recomendaciones son útiles, pero ninguna de las otras opciones le beneficiará mucho si no protege su enlace local.
Para proteger tu enlace local, necesitas usar una VPN.
Una VPN (Red Privada Virtual) es una conexión de red encriptada desde tu sistema a otro sistema en algún lugar de Internet. Esta conexión se utiliza para canalizar todas las comunicaciones de Internet a través de un túnel cifrado. Una VPN proporciona protección local contra ataques y atacantes en o cerca de su enlace inicial a Internet, incluyendo vecinos entrometidos, otras personas en la cafetería, puntos de acceso deshonestos e incluso empleados del ISP sin escrúpulos.
El uso de una VPN no es una solución completa, pero es el primer paso. Cuando una VPN está en uso, todo su tráfico saldrá y entrará en su sistema de forma encriptada y protegida.
Ser anónimo
Una VPN (y la mayoría de las otras soluciones de encriptación) proporcionan privacidad, pero no necesariamente proporcionan anonimato.
O bien es posible rastrear el tráfico a través de la VPN para identificar su sistema, o bien el proveedor de la VPN mantiene registros que contienen su identidad. Para ocultar su identidad cuando está en línea, debe utilizar un servicio de anonimización.
Uno de mis favoritos es TOR (torproject.com).
El Laboratorio de Investigación Naval de EE.UU. desarrolló originalmente TOR, pero ahora lo gestiona una organización sin ánimo de lucro. TOR se utiliza para ocultar la dirección IP de tu ordenador. El uso de TOR es gratuito.
Nota: Debido a que TOR es utilizado por los atacantes y es usado por algunos para acceder a materiales criminales o ilegales en la nube de TOR, puede ser etiquetado como una herramienta/servicio de hacking o un programa/aplicación potencialmente no deseado (PUP/PUA). Sin embargo, TOR en sí mismo es sólo una herramienta y un servicio y no es un código malicioso.
TOR no es una VPN, ya que no protege completamente el contenido de sus comunicaciones. Todos los datos que salen de un nodo de salida de TOR vuelven a su forma original (texto claro o cifrado) para su transmisión restante a través de Internet hasta el destino.
TOR protege tu identidad IP impidiendo que la Internet en general y la mayor parte de la nube TOR en sí misma conozcan tu dirección IP. En su lugar, sólo el sistema TOR inicial al que te conectes conocerá tu dirección IP. Mientras no te identifiques al interactuar con sitios o servicios (es decir, no inicies sesión ni utilices un navegador con cookies almacenadas), puedes permanecer en el anonimato mientras utilizas TOR.
TOR no es tan sencillo de usar como una VPN. Con una VPN, todo el tráfico que entra y sale de tu sistema pasa por la VPN. Con TOR, sólo aquellos servicios y aplicaciones que configures para usar el servicio proxy de TOR serán enrutados a través de TOR. Por ejemplo, si configuraste Chrome para usar TOR, entonces la actividad web a través de Chrome sería anónima, mientras que las actividades a través de Firefox seguirían siendo identificables.
Pre-encriptar todo
Cualquier dato que traslades a una ubicación online corre el riesgo de ser visto, copiado y modificado. A veces esto es precisamente lo que quieres, como las publicaciones en redes sociales, foros de discusión, sitios de alojamiento de imágenes, etc. Sin embargo, cuando utilizas el almacenamiento en línea para alojar o hacer copias de seguridad de archivos personales, sensibles o valiosos, no quieres que otros tengan ningún tipo de acceso.
Para agravar el problema, muchos proveedores de servicios en la nube ofrecen gigabytes de almacenamiento gratuito para inscribirse en ellos. Así que, naturalmente, es tentador coger todo el espacio gratuito que ofrecen, pero tienes que resistirte a subir todo a estos proveedores de la nube. Al menos, resistirse hasta encriptar los datos localmente.
Steve Gibson, de Gibson Research Corporation, a través de su podcast Security Now, utiliza a menudo el término PIE (Pre Internet Encryption).
PIE no es sólo un término, es una regla a seguir:
- Siempre hay que preencriptar los datos antes de ponerlos en Internet.
- Todo lo que se coloque en Internet de forma no cifrada queda sin protección y fuera de su control. Sólo con su propia encriptación puede establecer una protección y mantener el control sobre sus archivos de datos.
- Una opción a considerar es AES Crypt (www.aescrypt.com). Esta herramienta puede usarse para encriptar rápidamente cualquier archivo local con una operación de línea de comandos o GUI. En primer lugar, se selecciona una contraseña, que se convierte (mediante un proceso de estiramiento de la clave) en una clave de cifrado AES de 256 bits para bloquear el archivo.
- Una vez encriptado, el archivo (con una nueva extensión .aes) puede colocarse de forma segura en cualquier lugar sin riesgo de ser comprometido. Cuando necesites recuperar el acceso, descarga el archivo y luego proporciona tu contraseña a la herramienta para descifrarlo de nuevo en su forma original.
Otras herramientas de cifrado a tener en cuenta son
- Cryptomator
- Kryptor
- 7-zip
- AxCrypt
- GNU Privacy Guard
Limita las redes sociales
Si ser rastreado por los malos o por las cookies del navegador te parece espeluznante, también tienes que darte cuenta de que las plataformas de redes sociales te están rastreando.
Las redes sociales ofrecen una amplia gama de servicios, pero su principal modelo de negocio es la recopilación de datos demográficos sobre los usuarios para venderlos a los anunciantes.
Por lo general, si consigues algo gratis en Internet, el producto que se vende eres tú. Sin embargo, con el aumento de los ataques de ingeniería social, los adversarios están recopilando datos sobre usted, sus relaciones y sus intereses de los sitios y servicios de redes sociales para elaborar estrategias y campañas más eficaces para separarle de su dinero, robarle la identidad, apoderarse de su cuenta o algo peor.
Para minimizar esta actividad y protegerte en el proceso, debes limitar y ajustar tus actividades en las redes sociales.
He aquí algunas buenas prácticas que debes adoptar:
- No rellenes tu perfil con información sobre tu identidad. Déjalo genérico o no específico.
- No dediques un esfuerzo significativo a dar "me gusta" o compartir contenidos en las redes sociales. Cuanto menos "me gusta", menos información hay.
- Minimiza el uso de aplicaciones o complementos dentro del servicio.
- No rellenes encuestas.
- No participes en juegos de preguntas y trucos, como los que dicen: "Descubre qué tipo de personaje eres respondiendo a estas 20 preguntas".
- Evalúe la configuración de su perfil con regularidad y minimice las aprobaciones de divulgación de información.
- No vincules tu perfil de redes sociales a otros sitios o servicios, como por ejemplo a través de la autenticación federada (es decir, utilizando tu cuenta de Google, Facebook o Twitter para acceder a otros sitios y servicios).
Contraseñas seguras
Demasiados sitios y servicios en línea siguen "protegiendo" su cuenta con una simple contraseña. Sin embargo, cuando no se dispone de opciones más seguras, hay que aprovechar las opciones de contraseña que se ofrecen.
He aquí algunas medidas fundamentales que debe tomar:
- Utiliza un gestor de contraseñas seguro y encriptado. Yo uso LastPass, pero Bitwarden y 1Password son otras buenas opciones.
- Asegura tu gestor de contraseñas con una contraseña de más de 20 caracteres construida a partir de cinco palabras que puedas recordar, escribe mal al menos una de ellas e intercala uno o dos símbolos. NUNCA utilices esta contraseña para ningún otro propósito.
- Utiliza la contraseña más larga permitida por el sitio.
- Utiliza una contraseña aleatoria generada por tu gestor de contraseñas.
- Utiliza siempre mayúsculas, minúsculas y números en tu contraseña. Utilice símbolos cuando sea posible.
- No utilices nunca la misma contraseña dos veces.
- Utiliza contraseñas largas, complejas y aleatorias en todas partes. Como vas a utilizar un gestor de contraseñas, no tendrás que memorizar numerosas contraseñas largas y complejas. En su lugar, sólo tendrás que memorizar tu contraseña principal para el gestor de contraseñas.
- Un gestor de contraseñas es una herramienta esencial para maximizar la escasa protección que las contraseñas proporcionan a tus cuentas online. Sin embargo, siempre que un sitio o servicio ofrezca opciones de autenticación de múltiples factores o pasos, utilízalas. Puede ser una molestia y un inconveniente al principio, pero con el tiempo se convertirán en algo natural para ti.
La ruleta de las preguntas de seguridad
Muchos sitios ahora requieren que defina las respuestas a varias preguntas de seguridad. Se trata de preguntas que debes volver a responder cuando intentas recuperar tu contraseña, cuando haces cambios sensibles en tu cuenta.
Mientras que algunos podrían abogar por definir respuestas falsas a estas preguntas, eso requeriría que usted mantenga un registro de todas esas respuestas. Entonces debes llevar la cuenta de las respuestas falsas. Pero ya es bastante difícil hacer un seguimiento de las respuestas correctas.
En su lugar, le recomiendo que adopte uno de los dos enfoques más realistas:
Puedes responder lo contrario a la pregunta planteada. Por ejemplo, si te preguntan cuál es tu comida favorita, en lugar de responder helado, responde lo contrario a tu comida menos favorita, como patas de pollo fritas.
Puedes responder a la pregunta con la verdad y luego añadir material de relleno personal. Escoge una frase o afirmación, como "Me gustan los arenques en escabeche", y añádela al final de cada respuesta correcta. Si le preguntan cuál es su color favorito, en lugar de limitarse a enumerar "cerceta", establezca su respuesta utilizando su material de relleno, como "cerceta me gusta el arenque en escabeche".
El uso de cualquiera de estos métodos no hará que estas preguntas sean significativamente más difíciles de recordar la respuesta "correcta". Pero hará casi imposible que alguien adivine o descubra tus respuestas.
HTTPS en todas partes, todo el tiempo
El uso de una VPN es la mejor práctica para mantenerse encriptado localmente, pero siempre que sea posible, tener la conexión encriptada a su destino es aún mejor.
Un número cada vez mayor de sitios web soporta ahora conexiones seguras HTTPS. HTTPS era inicialmente el protocolo web HTTP encriptado por SSL (Secure Sockets Layer), pero SSL fue sustituido por TLS (Transport Layer Security) hace muchos años. Se mantuvo el prefijo HTTPS de la URL, y la mayoría de nosotros sigue utilizando mal el término SSL, igual que utilizamos mal el término Kleenex.
Un complemento de la EFF (Electronic Frontier Foundation) llamado HTTPS Everywhere para la mayoría de los navegadores se asegurará de que su navegador solicite una conexión segura cada vez que escriba una URL o haga clic en un enlace. Sólo si un sitio no admite conexiones HTTPS, volverá a utilizar HTTP en texto claro.
Nota: Varios proveedores de navegadores han anunciado que esta función será nativa y no requerirá un complemento.
Busque el icono del candado, que suele estar en la barra de direcciones cerca de la URL. Lo que quiere es ver un candado cerrado o bloqueado. Esto le informa de que se ha realizado un apretón de manos TLS con éxito entre su navegador y el sitio web que está visitando.
Debería preocuparse si el icono del candado se muestra como abierto o desbloqueado y potencialmente etiquetado con un signo de exclamación o una barra roja. Esto indica que la sesión está en texto plano y que TLS no se ha negociado con éxito.
Cómo identificar el cifrado y la autenticación en su navegador
Un símbolo de candado cerrado no es el indicador de que todo está claro y que demuestra que está realmente seguro; es sólo el primer paso.
A continuación, debe hacer clic en el icono del candado y ver si puede acceder a la información del certificado digital del sitio que está visitando. Asegúrese de que identifica con precisión el sitio, la empresa y/o la organización del sitio web.
A continuación, debes encontrar los detalles sobre el cifrado negociado (formalmente conocido como conjunto de cifrado). Esto puede ser accesible haciendo clic en el candado, pero puede que tengas que bucear en las opciones del desarrollador.
En muchos navegadores, puedes pulsar F12 (o seleccionar Herramientas para desarrolladores en el menú del navegador). En el área de herramientas para desarrolladores, selecciona la pestaña de seguridad. Aquí es donde se suele mostrar el nivel de cifrado y autenticación.
Debe ver TLS 1.3 o 1.2. Si aparece cualquier otra cosa, debería preocuparse de que no tenga la mejor seguridad para proteger su sesión actual. Algunos sitios web pueden estar limitados a soportar TLS 1.1 o 1.0 - esto es desafortunado y puedes necesitar reconsiderar el uso de esos sitios hasta que mejoren su soporte de seguridad.
Mantenga su equipo limpio para evitar el malware (y la actividad delictiva)
Otra seria amenaza para tu privacidad, anonimato y seguridad en general es la del malware. Las infecciones de códigos maliciosos proliferan, y sus fuentes y vectores son legión. Por lo tanto, tienes que tomar precauciones y evitar actividades de riesgo que puedan exponerte a nuevos programas maliciosos.
Instale un programa de exploración antivirus de última generación. Configúrelo para que supervise su sistema en tiempo real, programe un escaneo de todo el sistema al menos una vez a la semana y configúrelo para que se actualice al menos una vez al día.
Evita las actividades de riesgo que puedan provocar una infección. Tenga mucho cuidado al descargar archivos. Intenta encontrar la fuente de un archivo antes de descargarlo de un tercero. Si no puedes encontrar la fuente, utiliza sitios de descarga de terceros conocidos por su fiabilidad. (Dudo incluso en recomendar ejemplos de sitios de descarga de terceros que puedan ser de confianza porque dichos sitios pueden cambiar rápidamente sus condiciones, su reputación o su propiedad).
Evita abrir los archivos adjuntos a los correos electrónicos a menos que verifiques que el remitente los ha enviado a propósito. Evite utilizar dispositivos de almacenamiento portátiles de fuentes desconocidas; nunca se sabe a qué tipo de sistemas se ha conectado. Y sobre todo, evita participar en el intercambio de materiales pirateados o liberados de derechos de autor, ya que no sólo es un delito, sino que a menudo te expone a la infección de malware.
Salir a propósito
Cuando termines de utilizar un sitio o un servicio, utiliza el botón o comando de cierre de sesión. No dejes una sesión colgada y te vayas a otro sitio.
En lugar de eso, sal a propósito, cerrando y bloqueando la puerta tras de ti. Los hackers pueden ser capaces de tomar el control de tus sesiones colgadas, incluso después de que hayas abandonado las instalaciones. Y en una nota relacionada, asegúrese de borrar sus cookies en cada navegador al menos una vez a la semana.
Las cookies son el pase entre bastidores de tus cuentas online. Puedes configurar tu navegador para que borre las cookies cada vez que cierres la aplicación. También puedes considerar la posibilidad de ejecutar una herramienta de seguridad que limpie las cookies y otros residuos del navegador (ya que muchos navegadores hacen un mal trabajo por sí mismos); tales herramientas incluyen CCleaner y BleachBit.
Lleve su propio Internet
Utilizar el acceso gratuito a Internet en cafeterías, restaurantes y otros lugares públicos suele ser cómodo. O al menos hasta que te das cuenta de lo fácil que es ser engañado por un punto de acceso fraudulento, un ataque de gemelos malvados, sniffing/eavesdropping, DNS spoofing, ataques attacker-in-the-middle/on-path, y ataques de secuestro.
El uso de una VPN reducirá algunos de estos riesgos, pero no completamente. La única forma real de prevenir los compromisos oportunistas basados en el WiFi público es no utilizarlo. En su lugar, lleve su propia conexión a Internet. Muchos proveedores de telefonía móvil ofrecen planes de tethering u opciones de hot-spot móvil. También puedes buscar servicios independientes como FreedomPop (freedompop.com) o Karma (yourkarma.com). Estos dos servicios ofrecen puntos calientes WiFi portátiles relativamente baratos.
Si puedes conectarte a un puerto con un cable Ethernet, será mucho más seguro que utilizar redes WiFi abiertas. Por supuesto, todavía tienes que usar una VPN, pero al menos estarás razonablemente seguro de que te has conectado a un puerto real en la pared. Si no hay otra opción que el WiFi abierto, entonces sé precavido. Pregunte al encargado del lugar cuál es el nombre de la red WiFi prevista, conéctese sólo a la red con el nombre correcto y ponga en marcha inmediatamente su VPN.
Tome medidas
Estas son sólo algunas de las innumerables medidas que puedes tomar para mejorar tu seguridad en línea. Algunas se centran en la privacidad, otras en el anonimato y otras en la gestión de la seguridad. Depende de ti tomar las medidas y precauciones necesarias para preservar y protegerte en línea. Nadie lo hace por ti.
Una de las mejores maneras de mantenerte a ti y a tus datos protegidos es seguir leyendo artículos como éste, viendo vídeos, participando en seminarios web, formándote y mucho más. Tener el conocimiento y la habilidad para asegurar sus actividades en línea le ayudará a evitar que los atacantes tengan acceso a su información.
Si quieres saber más sobre la privacidad y otras áreas de la seguridad, visita nuestra página de formación sobre ciberseguridad.