» Mi cuenta de correo electrónico de Google fue hackeada recientemente mientras estaba de vacaciones en Eslovaquia. El hacker dijo que me habían robado a punta de pistola en España y luego le pidió a la gente que enviara dinero a una cuenta de transferencia de dinero en España», lee el correo electrónico que llegó esta semana. «Supongo que esto le ha pasado a otras personas.»
Ciertamente tiene: esta es la temporada alta para las personas que tienen sus cuentas hackeadas, principalmente porque muchos están viajando y, por lo tanto, usan computadoras o redes que se comparten y en las que confían demasiado.
Por esa razón, Google, Hotmail y Facebook (aunque notablemente no Yahoo) han implementado un sistema llamado «autenticación de dos factores» para proteger su cuenta. La idea básica es sencilla: además de su nombre de usuario y contraseña, cuando utiliza un nuevo dispositivo para acceder a su sistema, también debe ingresar un código de una sola vez que se envía a su teléfono móvil.
La idea es protegerse contra el robo de sus datos de usuario a través de una red insegura o un equipo que puede estar ejecutando malware que intenta capturar con precisión esos detalles. E incluso si el malware captura el código de una sola vez, una vez que haya cerrado la sesión, el código se vuelve inválido. Por lo tanto, si intentan iniciar sesión con tus datos robados, se enfrentarán a una demanda de un código, que se enviará a tu teléfono.
Protección del teléfono
Idealmente, el posible ladrón no tendrá su teléfono, aunque la posibilidad de que lo tenga es la razón por la que debe proteger su SIM con un código de acceso y configurar su teléfono para que se bloquee automáticamente.
El problema es que no todos usan 2FA (como también se le conoce), y es bastante difícil obligarlos a hacerlo. «Con 750 millones de usuarios, es bastante difícil conseguir una función de seguridad que funcione para todos», dice Joe Sullivan, director de seguridad de Facebook, un ex fiscal federal estadounidense que trabajó anteriormente en eBay durante seis años y se unió a la gigantesca red social en 2008.
Para muchas personas que trabajan en su computadora familiar, un nombre de usuario y una contraseña son suficiente seguridad. Pero para otros, 2FA es deseable, dice. «Es como tener una llave para cerrar la puerta principal, pero también tengo una alarma que puedo elegir si la pongo o no.»
Google y Hotmail también le permiten configurar la autenticación de dos factores. Yahoo Mail no lo hace, así que evita usarlo en situaciones en las que no confíes en todo lo relacionado con la red y la computadora que estás usando. (Por principio, no se debe confiar en una computadora de café internet; ni en redes inalámbricas abiertas en hoteles, estaciones de tren u otros lugares.)
Una cosa que usa la autenticación de dos factores con todos estos servicios es que, primero, necesita un número de teléfono móvil; en segundo lugar, debe configurarlo antes de viajar, o al menos mientras está en una máquina de confianza (que no es ninguna de las máquinas que encontrará mientras viaja).
Subirlo a Factor Dos
Para activar la autenticación de dos factores:
* En Google, se encuentra en la pestaña «configuración» en la parte superior derecha de la página. Tienes que configurar 2FA en un ordenador de confianza. (Es una buena idea tener una impresora a mano para que pueda imprimir una lista de códigos de copia de seguridad que proporciona para el acceso en caso de que su teléfono móvil se pierda o sea robado.) Tendrás que proporcionar un número de teléfono al que se puedan enviar los códigos; obviamente, un móvil es ideal.
• En Hotmail, primero debe agregar un número de teléfono móvil en la página de información general de su cuenta de Windows Live. (Una vez más, primero tendrá que hacer esto en una computadora de confianza. Luego, cada vez que vaya a Hotmail u otros servicios de Windows Live, puede elegir obtener un código de un solo uso, una cadena de números que se enviará a través de un mensaje de texto a su teléfono, para usar en lugar de su contraseña. Asegúrate de hacerlo. Los códigos de un solo uso caducan después de unos 15 minutos; asegúrese también de cerrar sesión en la cuenta antes de salir de la máquina.
• En Facebook, ve a Cuenta (esquina superior derecha) y Configuración de la cuenta. Desde allí, elija pprovals de seguridad e inicio de sesión: esto ofrece una casilla de verificación para «Requerir que ingrese un código de seguridad enviado a mi teléfono». Una vez más, debe ingresar su número.
Yahoo no ofrece 2FA, lo cual es un problema, ya que pone en riesgo sus datos de inicio de sesión. Tampoco hay opción de introducirlo; the Guardian ha establecido que un servicio llamado YToken que tiene una página web que afirma ofrecerlo, de hecho, no lo hace, porque no había suficiente demanda, según su propietario.
Si necesitas acceder a los correos electrónicos de Yahoo mientras estás fuera, lo más seguro es hacerlo a través de un teléfono inteligente (con un Pin y un bloqueo del teléfono) o configurar una cuenta de Hotmail o Gmail que inicie sesión periódicamente en la cuenta de Yahoo y le muestre el correo electrónico desde ella, y use una autenticación más segura con ellos.
Mientras tanto, en Twitter
Twitter aún no tiene habilitada la autenticación de dos factores. «Es genial y algo a lo que aspirar», dice Del Harvey, jefe de Confianza y Seguridad de Twitter. «Pero el hecho de que Google haya tardado tanto, con los recursos que tiene, te dice que no es sencillo.»
Además, muchas personas usan Twitter desde su teléfono móvil: sus actualizaciones de 140 caracteres significan que es ideal tanto para teléfonos inteligentes como para los teléfonos más simples que solo envían mensajes de texto. (En varios países, Twitter tiene un número de SMS al que puedes enviar actualizaciones.)
«Muchas personas se ponen en contacto con nosotros para decirnos que han perdido su teléfono y necesitan que desactivemos sus actualizaciones por SMS», dice Harvey. Implementar la autenticación de dos factores para las personas que pierden su teléfono «significaría que los bloqueamos de su cuenta en la web y también haría que sea increíblemente difícil para ellos comenzar de nuevo».
Aunque utiliza Gmail y autenticación de dos factores, Harvey sabe que si obtiene un número suficientemente grande de usuarios, eventualmente obtendrá un número inmanejable que ha logrado no seguir las instrucciones. «Han perdido su teléfono, o no anotaron los códigos de copia de seguridad, o, sucede esto, sí tomaron los códigos de copia de seguridad, pero los almacenaron en el teléfono. Y ahora han perdido el teléfono…»
La fe de Harvey en la falibilidad humana es conmovedora, pero bien fundada. «No es probable que los usuarios usen cosas que dificulten el uso de su cuenta», dice. En su lugar, Twitter se ha centrado en agregar seguridad directa que evite que sus datos se «rastreen» a través de las redes: todas las conexiones a Twitter ahora se realizan a través de enlaces SSL seguros (el prefijo https: en la barra de herramientas de un navegador: si te encuentras en lo que parece un sitio de Twitter pero no tiene ese prefijo, finaliza la sesión).
Un portavoz de Twitter dijo: «Los usuarios pueden activar https. No está activado actualmente de forma predeterminada. Estamos trabajando en eso.»
Crear una mejor contraseña
Que, por supuesto, no impedirá que la gente adivine su contraseña si es débil, una palabra en un diccionario o una simple combinación de letras y números. (Sí, mucha gente usa «abc123» como contraseña. Esa no es una contraseña segura.)
Puede comprobar la solidez de su contraseña en howsecureismypassword.net, que le dirá cuánto tiempo le tomaría a la PC de escritorio promedio descifrar su contraseña. No almacena contraseñas ni pide un nombre de usuario, por lo que puedes confiar en él.
Para » abc123 «la respuesta es»esta es una de las 500 contraseñas más comunes, probablemente debería cambiarla». (Para mi cuenta personal de Twitter, la respuesta fue «24.000 años».)
Facebook y Twitter buscan contraseñas débiles: si intenta crear una cuenta con una contraseña débil, o una que se ha demostrado que es ampliamente utilizada (como sucede cuando los hackers violan los sistemas y publican enormes listas de nombres de usuario y contraseñas), entonces la bloquearán.
«Cuando vemos esas tiendas masivas de correos electrónicos y contraseñas, nos aseguramos de ver los correos electrónicos y las contraseñas», dice Sullivan de Facebook. «Si encontramos que alguien tiene la misma configuración de correo electrónico/contraseña en Facebook, la cambiamos y la obligamos a cambiarla cuando se conecte.»
La ventaja de Facebook es que también puede obligar a las personas a demostrar su identidad mostrándoles fotos de amigos, algo en lo que la persona real generalmente será buena, y nadie más lo hará.
Sullivan dice que entre el 1% y el 10% de las contraseñas son las mismas entre sitios, lo que apunta a otro problema: las personas que usan la misma contraseña entre sitios. Es la mayor fuente de vulnerabilidades, además de contraseñas débiles.
Lo ideal es que use una contraseña diferente en cada sitio – lo cual se puede hacer, si usa un poco de imaginación. También es bueno incluir números y signos de puntuación, que se suman a la complejidad y, por lo tanto, a la dificultad de romperlos.
Sobre todo, si usa una contraseña diferente en cada sitio, entonces si por alguna desgracia su nombre de usuario (a menudo un correo electrónico) es robado junto con su contraseña en un sitio (defectuoso), entonces las herramientas automatizadas que los hackers usan en otros sitios (incluidos Facebook, Gmail, Hotmail, Twitter y Yahoo) no podrán ingresarlos. Eso es éxito, al menos en la medida en que evita que tengas un día peor que el hackeo de tu cuenta.
{{topLeft}}
{{bottomLeft}}
{{topRight}}
{{bottomRight}}
{{/goalExceededMarkerPercentage}}
{{/ticker}}
{{heading}}
{{#paragraphs}}
{{.}}
{{/párrafos}}{{highlightedText}}
{{#choiceCards}}
{{/choiceCards}}
- Compartir en Facebook
- Compartir en Twitter
- Compartir a través de Correo electrónico
- Compartir en LinkedIn
- Compartir en WhatsApp
- Compartir en Messenger