Como evitar que te roben tus cuentas ¡ahora con 100% más Heartbleed!

El lunes pasado se dio a conocer una vulnerabilidad que afecta a un buen número de servidores en internet, originalmente se dijo que eran dos tercios, pero en realidad es más bien alrededor del 15% de todos los servidores en internet, lo cual sigue siendo alto pero no taaaan catastrófico.

Foto de https://www.flickr.com/photos/allstar/415273045

Así, pero más sanguinoliento. Foto de Allstar

Hay también mucha información alarmista sobre Heartbleed, pero si bien el riesgo no es tan alto como se escucha por todos lados sí existe y sí es necesario protegerse.

Muchos servicios populares están afectados, como Yahoo! y Flickr, Wunderlist, algunos servicios de Google, etc. Sin embargo, en vez de andar corriendo gritando que el mundo se va a acabar es mejor aprovechar este momento para adoptar buenas prácticas de seguridad.

¿Qué significa esto para ti como usuario? Bueno, el mayor peligro que puede haber es que alguien robe los certificados de autenticidad de un servidor y se pueda hacer pasar por, por ejemplo, tu banco, y te engañe para obtener tus datos y contraseñas. Normalmente uno se fijaría en el candadito que aparece junto a la dirección en el navegador y por lo general se emite una alerta que diría que el servidor podría no ser verdadero. Pero si se roban los certificados no habrá alerta y el candadito aparecerá indicando que todo es seguro.

Otro riesgo que te afectaría más directamente es que se puedan robar tu contraseña si está activa en la memoria del servidor. Esto hace que sea muy importante cambiar tus contraseñas en cuanto los servicios que usas tapen la vulnerabilidad, hacerlo antes no tendría caso.

Estos son pasos que debes seguir si quieres minimizar tu riesgo:

1. Utiliza un administrador de contraseñas. Lo mejor es tener una contraseña larga y difícil de adivinar para cada cosa. Y lo mejor para esto es contar con un programa que invente y administre estas contraseñas. Los mejores son LastPass, KeePass y 1Password. Con esto podrás crear contraseñas complicadas y no tendrás necesidad de recordarlas porque el programa lo hará por ti.

2. Utiliza la autentificación de dos pasos. Si el servicio cuenta con esta opción actívala. Cuando quieras entrar a tu cuenta desde una computadora desconocida te mandarán una clave a tu celular y tiene que coincidir tanto la contraseña como la clave. Si alguien logra robar o adivinar tu contraseña, aún así les hará falta el celular para recibir la clave.

3. No hagas click en ligas que lleguen por correo o cualquier otro medio. Ni siquiera cosas que tus amigos te manden por Whatsapp sin verificar con ellos que efectivamente es algo que te quieren mandar. Esta regla ya se la debería saber todo mundo, pero me encuentro con cada cosa.

4. No le piques a todo en Facebook. Aparece en tu muro un video que promete ser muy divertido, o impactante, o con una vieja en cueros y tú le aprietas para verlo, luego te aparecen unas cosas que debes aceptar para poder ver el video y lo aceptas. Ahora tienes una aplicación en Facebook que tiene permiso para ver una buena parte de tu información personal y otras actividades tuyas. Aunque Facebook es cuidadoso en no revelar demasiado esta información puede ser usada después para sonsacarte más cosas por otros medios.

El problema es grave pero se está arreglando. El parche salió el mismo día que se hizo el anuncio, de hecho conocían la vulnerabilidad desde antes pero no la anunciaron hasta tener el parche. Ahora es cuestión que cada servidor lo aplique. Mantente atento a los correos de los servicios que usas y cuando te avisen que ya aplicaron el parche mete su dirección directo en tu navegador (no hagas click en ligas), entra a tu cuenta y cambia tu contraseña.

Mira tu perfil como otros lo ven

Ahora que ha estado muy mencionado lo de la privacidad de los datos en Facebook y mucha gente se preocupa de que les estén vienddo los chones que pusieron en el tendedero, tal vez tengas la curiosidad de saber que tanto estás compartiendo y que tanto es tantito.

El sitio ProfileWatch pretende ayudarte a encontrar las respuestas. Después que le das el URL de tu perfil (viene una útil ilustración para encontrarlo) la aplicación va y lee todo lo que has hecho público y te lo muestra. También te da una calificación de privacidad que mide cuan “expuesto” o “seguro” estás.

Aquí es donde tengo mis problemas con este sitio. Lo mucho o poco que reveles de tu perfil en Facebook no te hace más o menos seguro, sino el tipo de cosas que pongas en tu perfil.

Por ejemplo, para mi perfil en Facebook ProfileWatch me da una calificación de 6.1, o sea que estoy compartiendo mucho más de lo que sería el perfil ideal. Sin embargo ninguno de los datos, asociaciones, fotos o posts que están a la vista del público son cosas privadas, potencialmente peligrosas o que no quiera tener a la vista de todos. Al contrario, a algunas me gustaría darles más visibilidad.

Por otra parte, una persona que obtenga una calificación alta puede creerse “segura” y al mismo tiempo revelar un dato confidencial, como su número de celular, en su bio o en algún foro abierto.

La manera en que se crea esta calificación también me deja con dudas. Cuando visité el sitio por primera vez obtuve un resultado de 5.3. Aprovechando que estaba en eso escribí un par de párrafos para la biografía, que antes tenía vacía, y la dejé abierta para que todo mundo la pueda leer.

Así que, supuestamente, ahora estoy compartiendo más información. Sin embargo mi índice de “privacidad” subió a 6.1 Así que ya no entendí.

ProfileWatch es un sitio útil que te puede ayudar a ajustar tu perfil para que revele lo que tú quieres, pero no te vayas con la finta de la calificación, en realidad no significa nada.