NEGOCIOS
15/06/2018 3:51 PM CDT | Actualizado 15/06/2018 4:30 PM CDT

Hacker revela todo lo que estás haciendo mal en internet

La hacker de cuello blanco Stephanie Carruthers habla de las malas prácticas de los usuarios en internet.

Stephanie Carruthers es una hacker de "cuello blanco" conocida como Snow, cuyos clientes incluyen compañías tanto de la lista Fortune 100 como nuevas empresas. En 2014, ganó el concurso Capture the Flag de Social Engineering en DEF CON, una de las conferencias de hackers más antiguas e importantes del mundo. Es una presentadora frecuente dentro de este tipo de convenciones y comparte su experiencia con las empresas con la esperanza de reforzar su seguridad en línea.

Le preguntamos a Snow por Twitter sobre el trabajo que hace y qué consejos daría para mantener a las personas más seguras cuando navegan online.

Creo que yo nunca me voy a sentir segura online

¿Qué es exactamente un hacker de cuello blanco?Un hacker de cuello blanco es un hacker ético. Específicamente, soy una ingeniera social, que significa que soy un pirata informático. Una de las maneras más sencillas de explicar lo que hago es decir: "Miento y penetro las murallas". Realizo diferentes tipos de evaluaciones, como campañas de phishing y evaluaciones de seguridad física. Mi trabajo se realiza con el objetivo de poder mostrar a mis clientes dónde están sus vulnerabilidades para que puedan solucionarlas antes de que un hacker real las encuentre.

¿Cómo empezaste a trabajar en esto?
La ingeniería social se convirtió en mi pasión mientras competía en el Social Engineering Capture the Flag en DEF CON, y tuve la suerte de poder crecer en esta carrera.

¿Qué tan segura te sientes al navegar online?
Nunca diría que no soy inhackeable. El robo de datos se producen a una velocidad tan constante que parece una norma, y, por esa razón, no creo que alguna vez me sienta segura en línea. Por lo tanto, tomo las precauciones para protegerme tanto como sea posible.

¿Cuáles son algunas de las cosas más tontas que has visto publicadas en internet?

Trato de no etiquetar las cosas como tontas, pero si como ignorantes. Espero que si alguien realmente entiende el riesgo del contenido que están poniendo en línea, reconsiderarían publicarlo.

Dicho esto, algunas de las cosas que he visto en internet en que la persona está entendiendo el riesgo que conlleva son:

  • Nuevos conductores: Adolescentes emocionados (o incluso padres) que muy orgullosos le toman una foto de cerca a su nueva licencia de conducir, y que tiene toda su información personal, incluida la dirección.

  • Nuevos propietarios: los nuevos dueños de una casa toman una foto de la llave de su nuevo hogar y etiquetan geográficamente la ubicación de su nueva casa sin darse cuenta de que es [fácil] duplicar una clave física con una foto.

  • Empleados: los trabajadores a menudo se toman selfies con total desprecio por lo que está en primer plano o fondo de la imagen, incluidas las contraseñas / información confidencial en pizarrones, monitores de computadora, contraseñas de voz grabados en sus teléfonos, etc. Además, por alguna loca razón, los empleados publican imágenes de cosas como su cheque de pago. Si bien es posible que algunas personas no vean nada malo en este tipo de publicaciones, los hackers pueden usar este tipo de imágenes para sacar ventaja.

¿Qué es lo que la gente NUNCA debe hacer en redes sociales?

Publicar sin pensar. Punto. Antes de publicar algo, hágase estas preguntas: ¿qué información estoy poniendo en línea? ,¿qué hay en el fondo de mi imagen? Si quisiera vengarme de mí mismo, ¿cómo usaría esta información en mí contra?

En tu opinión, ¿qué red social expone nuestra vulnerabilidad más?

Creo que Facebook expone la mayor cantidad de información, principalmente porque Facebook correlaciona una gran cantidad de datos, como tus amigos, compañeros de trabajo, familia, el trabajo en sí mismo, tus pasatiempos, tus hijos, etc. Muchas respuestas a las preguntas de seguridad [utilizadas para transacciones bancarias y restablecimientos de contraseñas] se pueden encontrar simplemente mirando la cuenta de Facebook de alguien.

Además de eso, Facebook no hace un gran trabajo para proteger su privacidad con el diseño: las redes sociales no funcionan bien cuando todo el mundo está limitado y cuando son restrictivas. Para muchos usuarios, intentar agregar configuraciones de privacidad que deberían tener no es intuitivo, es decir, sí lo consideran.

Miente al responder preguntas de seguridad comunes.

¿La tecnología de reconocimiento facial evitará que estafadores creen falsos perfiles?
La tecnología de reconocimiento facial puede ayudar a reducir algunas cuentas de estafadores, pero no las eliminará. Los hackers son personas muy astutas y disfrutan de encontrar formas de superar este tipo de obstáculos. Es un juego del tipo al gato y ratón. Por otro lado, para habilitar a Facebook, deberíamos proporcionar más información personal. Conozco a muchas personas que valoran su privacidad hasta el punto en que usan nombres falsos y una foto no humana en las redes sociales. Para evitar un perfil falso, tendrían que proporcionar a Facebook su nombre y su rostro. Esto es similar a la idea de Facebook sobre cómo combatir la pornografía de venganza. Si los tienen, hace que sea más fácil buscar y destruir desde el punto de vista de la automatización. Sin embargo, volvemos al tema de la confianza y que es el menor de los dos males.

Contraseñas y preguntas de seguridad: ¿Por qué hay tantas infracciones?

Las infracciones de datos pueden ocurrir por varias razones, como ataques de ingeniería social, vulnerabilidades de aplicaciones, servidores no reparados, falta de controles físicos de seguridad, credenciales débiles o robadas, etc. Si estas vulnerabilidades existen constantemente, las violaciones de datos solo continuarán.

Algo que es beneficioso para todos es adoptar buenos hábitos de contraseñas. Las contraseñas son una mezcla entre la responsabilidad individual y corporativa. Aquí hay algunas cosas que puede hacer para protegerse:

  1. Paren con la reutilización de contraseñas, cambie sus contraseñas con frecuencia y usen un administrador de contraseñas. Deberían tener una contraseña segura y única para cualquier lugar donde inicien sesión.

  2. Mientan cuando respondan preguntas de seguridad comunes. No tiene que poner el apellido de soltera de su madre siempre. Usen algo más que no pueda adivinarse fácilmente para la pregunta, como "Nutella" o "Disneyland".

  3. Usen autenticación de dos factores. La mayoría de los sitios tienen una opción donde pueden configurar este paso extra de seguridad.

¿Quiénes son todos estos estafadores / piratas informáticos que quieren nuestra información?

Los estafadores son atacantes de oportunidad. Al igual que cualquier otra actividad ilegal, gravitan a en situaciones donde la recompensa supera el riesgo. En la mayoría de los lugares, esto se debe a que las leyes locales no conllevan muchos riesgos contra la actividad. No importa quién o dónde esté el atacante al final del día, es el hecho de que hay información que desean y tienen los medios y la capacidad para obtenerla, siempre que valga la pena la recompensa. En muchos casos, tienen un gran éxito porque, en muchas de estas tiendas, es un juego de números. Tienen un centro de llamadas lleno de estafadores muy similar a las campañas de telemarketing. Tienen generación de leads, scripts de diálogo, escalada interna, capacitación e incluso cuotas.

¿Cuál es la cosa más importante que los usuarios casuales de Internet deben tener en cuenta? Solo que recuerden que estos problemas de seguridad no van a desaparecer pronto. Además, no puedes convertirte en la persona más segura del mundo. Sin embargo, puedes procurar tu seguridad más que otros y, como resultado, esperar que los atacantes se rindan y pasen a otra persona. Como dice el refrán, "No tienes que correr más rápido que el oso para escaparte. Solo tienes que correr más rápido que el chico que tienes al lado".

Este texto fue publicado originalmente el Huffpost y traducido para el Huffpost México.