Las claves para navegar de manera segura y esquivar a los ciberdelincuentes

Los ciberdelitos siguen creciendo a gran velocidad: en el Estado español tuvieron lugar más de 16.900 procedimientos judiciales por ciberdelincuencia en el 2020, una cifra que representa un crecimiento del 28,69% con respecto al 2019, según datos de la Fiscalía General del Estado. Además, elEstudio sobre la cibercriminalidad en España dice que "es previsible que los ataques y las vulnerabilidades relacionados con redes domésticas o dispositivos personales aumenten".

Jordi Serra y Cristina Pérez Solà, profesores de los Estudios de Informática, Multimedia y Telecomunicación de la UOC, proponen estas recomendaciones para navegar de manera segura por internet:

Una contraseña para cada cosa. No reutilizar las contraseñas en varias páginas web o servicios es una premisa clave. La razón, según explica Cristina Pérez Solà, es que, si utilizamos la misma contraseña y queda comprometida, afectaría a todos los servicios en los cuales lo hayamos utilizado. "Además, si uno de los lugares|sitios tiene una fiabilidad dudosa, incluso podría estar almacenando la contraseña expresamente para después venderla a terceros", explica.

Olvidarse de palabras de uso común. "Palabras que puedan aparecer en un diccionario, como hola, contraseña o chocolate," dice la profesora de la UOC. También hay que huir de las contraseñas populares como "0000" o "1234", dado que, por el hecho de ser muy comunes, "son, muy probablemente, las primeras que probará un atacante", añade.

Como|Cuanto más longitud tenga la contraseña, mejor. Además de añadir caracteres especiales, mezclar números y letras, y utilizar mayúsculas y minúsculas. Todo eso aumenta la dificultad en ser atacados con éxito.

Utilizar un segundo factor de autenticación. Consiste en hacer que "nos envíen un mensaje o a utilizar una aplicación en el móvil cuando introducimos la contraseña correctamente. El usuario es el único que dispone de esta segunda autenticación, de manera que no es fácil suplantarle la identidad", explica Jordi Serra.

El gestor de contraseñas. Permiten guardar todas las llaves de acceso, que cada vez son|están más, en un único lugar|sitio. "Sólo hay que tener claro que la contraseña maestra que ponemos en estos gestores tiene que ser única y como|cuanto más complicada mejor para que no se puedan desencriptar las contraseñas guardadas dentro de manera encriptada", aconseja el profesor de la UOC.

Copia de seguridad a la hora de comprar un ordenador nuevo. Una recomendación de los expertos es que, cuando compramos un ordenador nuevo, hacemos una copia de seguridad de todo el disco duro, de manera que siempre conservamos esta copia íntegra del disco duro sin utilizar. "De esta manera, si hiciera falta, se podría reinstalar manteniendo el ordenador nuevo como el primer día sin ningún problema, aunque lo que tendríamos que hacer acto seguido es aplicar todas las actualizaciones disponibles que hayan salido después", aconseja Serra.

Un usuario diferente del administrador para trabajar. Otro consejo del profesor de la UOC es crear un usuario nuevo para trabajar y guardar sólo al usuario administrador, con una contraseña diferente, para las instalaciones y configuraciones. Es importante que no trabajemos como administradores del ordenador diariamente.

Restaurar el software si instalamos aplicaciones de terceros. No hay que restaurar el software del ordenador si no instalamos aplicaciones de terceros que sean de poca confianza, "pero si lo hacemos, o si instalamos juegos que no son conocidos o hacemos tareas similares, entonces sí que hay que hacerlo", indica Jordi Serra.

Desconfiar si el comienzo de la URL no es https. Como explica Cristina Pérez Solà, una dirección que empieza por https indica que se utiliza el protocolo de comunicación HTTPS, que es una versión del protocolo HTTP que ofrece encriptación e integridad de los datos y autenticación del servidor. Por una parte, la encriptación de los datos es importante, dado que "evita que un adversario que escuche el tráfico de red pueda ver la información que se está enviando al servidor. Por ejemplo, si hacemos una compra por internet utilizando un wifi de un bar, es importante que la comunicación esté encriptada para asegurar que los propietarios del bar no puedan ver el número de tarjeta que utilizamos para pagar o los productos de nuestra carretilla|carretón", señala la profesora de la UOC. Por otra parte, la integridad de los datos asegura que no se han modificado. "Siguiendo con el ejemplo anterior, impide que los propietarios del bar puedan cambiar los precios de los productos que compraremos o modifiquen la dirección de entrega del producto sin que nos demos cuenta de ello", añade. Finalmente, la autenticación nos permite confirmar que la web es lo que dice que es.

El candado no garantiza la seguridad. El icono del candado que aparece al lado de la dirección de una web puede transmitir una sensación de seguridad. No obstante, es falsa. Cómo advierte Serra, "el candado sólo sirve para avisar de que la comunicación hacia el servidor web está encriptada y que han pagado para tenerlo, pero no tiene nada que ver con el hecho de que la web sea legítima o un fraude. Sólo indica que esta web funciona con HTTPS, nada más".

Qué hay que hacer para controlar las galletas. Las galletas se han convertido en un problema, porque, aunque recibimos constantemente la información para configurarlas, ya son pocas las personas que las configuran cuando entran a una página web para que no se les haga un seguimiento. No obstante, lo tenemos que hacer. "Hace falta parar unos segundos y mirar bien la configuración de las galletas que aceptamos, ya que muchas nos rastrean y saben todas las páginas web que visitamos," indica al profesor Serra, miembro del grupo de investigación|búsqueda K-riptography and Information Security for Open Networks (KISON) de la UOC.

Evitar la huelladel navegador Actualmente hay otros mecanismos más allá de las galletas que permiten a las páginas web rastrear a los usuarios. Por ejemplo, se puede utilizar la huella del navegador como identificador. Como explica Cristina Pérez Solà, la huella|pisada del navegador es un conjunto de características que identifican nuestro navegador de manera casi única y que, por lo tanto, permiten rastrearnos mientras navegamos por internet, aunque borramos las galletas o cambiamos de IP. La huella del navegador utiliza propiedades como la versión del navegador, las extensiones instaladas, la resolución de pantalla, el sistema operativo o la manera como|cómo se renderitzen diferentes fuentes tipográficas. Para favorecer la navegación y las búsquedas privadas, se puede recurrir a navegadores como Toro o se puede utilizar la red de anonimato Tor. "Este sistema sí que nos asegura una pizca de anonimato y privacidad de los datos que circulan por internet", explica Serra. Desconfiar del "modo incógnito" A pesar de su nombre, el "modo incógnito" no nos protege de posibles ataques. Según los expertos, lo único que lo caracteriza es que no guarda al historial las webs que visitamos y que las galletas no quedan guardadas, "pero eso no significa que sea anónimo", advierte a Jordi Serra. La razón es que no oculta la dirección IP o el punto desde donde nos conectamos, y tampoco se establecen conexiones seguras o encriptadas.

Antivirus. Un antivirus nos protegerá de los troyanos y virus ya conocidos, de manera que nos proporcionará cierta seguridad. En cuanto a los virus nuevos, no es frecuente que se utilicen en los domicilios particulares. No obstante, en caso de que lo hicieran, no estaríamos protegidos.

Cuenta con los permisos para instalar extensiones. Las extensiones son programas que añaden funcionalidades a los navegadores. En consecuencia, casi siempre necesitan acceder a los datos del disco o de los programas, de manera que tenemos que ir mucho con cuidado con las que instalamos. Por eso, la profesora Pérez Solà, también miembro del grupo de investigación|búsqueda KISON de la UOC, recomienda que, antes de conceder los permisos, pensemos si la aplicación realmente necesita acceder a los datos para|por los cuales pide permiso para funcionar correctamente, y no instalamos aplicaciones que pidan más datos de las que necesitan. "Muchas extensiones piden el permiso de leer y modificar los datos de todos los sitios web, y eso puede ser muy peligroso, ya que les da carta blanca para ver y modificar todo lo que se hace desde el navegador. Por ejemplo, pueden captar las contraseñas que utilizan para autenticarse en sitios web o añadir publicitado a las páginas web que visitamos", advierte.

Si las instalamos, que sean legítimas. Es preferible bajar las extensiones desde la página oficial del navegador (por ejemplo, la Web Store de Chrome o la página de complementos de Firefox), ya que estas extensiones ya han pasado un proceso de validación previo, indica Cristina Pérez Solà. Además, hay algunos detalles que nos pueden dar información adicional, como el número de bajadas de la aplicación o los comentarios y las valoraciones de otros usuarios.

Tarjeta virtual de un solo uso para hacer compras en línea Estas tarjetas tienen, igual que las "normales", un número, una fecha de caducidad y un código de seguridad (CVV), pero se caracterizan porque sólo permiten una única compra. "De esta manera, si un adversario clona la tarjeta u obtiene los datos en un ataque a la base de datos de la web en que hemos comprado, no le servirá de nada, dado que ya no será válida una segunda vez", dice a la profesora de la UOC. Además, también se pueden combinar con tarjetas de prepago que se pueden recargar con un importe concreto, añade. "Así, se puede poner en la tarjeta el importe exacto de la compra, de manera que nos aseguramos de que no nos cobrarán de más", concluye Pérez Solà.

Prestar atención a la web en que compramos. Independientemente que utilizamos una tarjeta virtual o no, antes de hacer ningún pago, tenemos que echar un vistazo a las tiendas donde compramos y nos tenemos que fijar en su reputación o en sí tienen comentarios en la red (si no tienen o son malos, es preferible no comprar esta "megaoferta" que tienen a menos de la mitad del precio de coste). Si desconfiamos de las webs nuevas, y sobre todo de poner la tarjeta de crédito, nos podemos ahorrar un posible disgusto.

No proporcionar datos ni clicar a enlaces sospechosos. Si recibimos un correo de una supuesta empresa o un proveedor que creemos ilegítimo, es mejor visitar directamente la página web de la empresa y buscar allí mismo el enlace con el servicio que nos ofrezca el correo. Por ejemplo, si recibimos un correo de nuestra empresa de telefonía ofreciéndonos un descuento de la tarifa, es mejor visitar la web de la empresa de telefonía y buscar la oferta que nos ofrecen por correo con el fin de evitar clicar al enlace que nos envían.

Mucha precaución con las líneas de wifi abiertas o compartidas. Los expertos recomiendan utilizar las redes wifi abiertas sólo para navegar y buscar información sobre consultas generales, pero nunca —aunque tengan contraseña— para conectarnos al banco o a una tienda e introducir los datos de pago. "Si hace falta, tenemos que desactivar el wifi para conectarnos vía GSM, ya que desde este sistema es mucho más complicado y costoso obtener los datos que enviamos hacia internet", indica Jordi Serra.

Cuándo tenemos que utilizar redes VPN. Utilizar una conexión VPN para navegar por internet a la hora de utilizar wifis públicos puede ser una buena alternativa, dado que asegura que los datos viajarán encriptados y nos permite esconder la destinación|destino de las conexiones. "Ahora bien, es importante seleccionar a un proveedor de VPN con ciertas garantías de privacidad, ya que, si no, podemos huir del fuego y caernos a las brasas", advierte a Pérez Solà.

Proteger las redes de casa. Para proteger las redes de casa hay dos premisas básicas: que siempre tengan contraseña y, si tenemos dispositivos muy antiguos que no lo permitan, utilizar algoritmos WPA3, la tercera revisión de un protocolo de seguridad utilizado en las redes wifi y certificado por la fundación Wi-Fi Alliance.

Qué precauciones tenemos que tomar con los códigos QR. Los códigos QR son una representación en formato imagen de un texto. Este texto se pasa a código binario y se representan los ceros y los unos en blanco y negro, de manera que no podemos ver lo que ha escrito dentro de este código QR. "A causa de eso, la recomendación es leer el código QR y, antes de abrirlo directamente, mirar a qué dirección URL nos llevará el navegador. Si vemos que es uno URL desconocido, o que nos parece fraudulento, es mejor plantearse no abrir el enlace asociado a este QR", aconseja Jordi Serra.

Actualizar el navegador. Todos los navegadores muestran la información web a la cual se quiere acceder y avisan de los certificados caducados. No obstante, tenemos que tener en cuenta que también se tienen que actualizar y que hay que descartar los que estén obsoletos, como ahora las versiones antiguas o Internet Explorer, que ha dejado de dar apoyo y, por lo tanto, ya no se actualiza.

Cuando tenemos que analizar si un fichero está libre de virus. No hay que analizar siempre un fichero antes de abrirlo, pero si nos parece sospechoso, el consejo de los expertos es que visitamos alguna web que pase antivirus en línea de ficheros, como VirusTotal.com.