Me encuentro con muchas personas que me preguntan a menudo sobre cuestiones de seguridad, sobre el uso del móvil y me doy cuenta de que lo que para mí es normal para la mayor parte de la gente es totalmente desconocido. Así que creo que tengo la oportunidad, con esta entrada, de poner las bases.

Otra cosa es que sea capaz de hacerlo de forma que se entienda, pero lo intentaré.

Todo lo que tiene que ver con la seguridad en las redes (internet) se llama ciberseguridad. Pero que no te asuste el término, no es nada futurista ni que te quede lejos.

Vamos a los ejemplos, que es lo que se me da mejor.

¿Irías por la calle con un cartel sobre la cabeza en el que pusiera tu nombre, apellidos, DNI, dirección y número de teléfono? A que no, porque esos datos se pueden usar para atacarte. Pues vamos haciendo eso cuando navegamos por internet y no solo no somos conscientes, cuando nos lo dicen, tampoco es que importe mucho a la gente que se lo cuento.

Tendemos a pensar que no podemos ser objeto de los “hackers”, esos ladrones de internet, porque esos van a por los presidentes del gobierno y grandes empresas. Pero no hay nada más falso. Los ataques contra gente de alto nivel son contratados y tienen un fin. Sin embargo, las filtraciones de datos tienen el objetivo de conseguir, eso, datos, da igual de quién, pero que sean muchos y suculentos, porque se venden “al peso”. Y cuanto más se obtenga, mejor. Así que tú, que no pintas nada, formas parte del peso de esa bolsa que venden.

Ahora vamos a lo práctico.

Recomendaciones muy básicas

Las cosas gratis no son gratis

No hay nada gratis. Apréndelo ya, todo se hace por algo:

• Hay quien ofrece un libro de recetas a cambio de que te suscribas a su newsletter, porque quiere tu correo electrónico y tu permiso para mandarte mails.
• Las webs en los que te hacen avatares con inteligencia artificial gratuita buscan tener tus fotos y usarlas para entrenar a sus ordenadores.
• Bing, con su ChatGPT gratuito, lo que busca es que utilices Edge, su navegador y Bing su buscador, el equivalente a Google pero de Microsoft. Porque con eso obtienen todos tus datos de navegación que luego venden a terceros.

Hay webs que prometen poder emplear tu voz para decir lo que escribas con solo leerle unos párrafos de texto. ¡Gratis! Ahora que sabes lo que sabes, ¿le darías tu voz a una web? ¿Acaso sabes lo que van o pueden hacer con ella en un futuro? ¿Y aunque ellos sean de fiar, y si les roban los datos?

Cuidado con las llamadas

Recientemente ha habido una serie de ataques que han sacado datos de Repsol, Banco Santander, Telefonica, Iberdrola, El Corte Inglés o la mismísima DGT.

¿Pensabas que te ibas a escapar? con el ataque a la DGT te he pillado seguro. Pero, ¿por qué tengo que tener cuidado con las llamadas?

De la mayoría de esos ataques han obtenido: nombres, apellidos, domicilio, teléfono, correo electrónico, DNI, … es decir, todo excepto la tarjeta bancaria.

Con todos estos datos es muy fácil hacerse pasar por una empresa para ofrecerte una mejora en las condiciones y que acabes dando tu número de cuenta o tarjeta, o incluso otros datos personales.

En mi caso jamás doy datos en las llamadas comerciales. Cuando me llaman, si me interesa, les digo que me den la extensión que yo llamo al número de la empresa y pido que me pasen. Y si no existe esa opción, pues nada chico, mejor perder una oportunidad que nunca tuviste a algo de más valor.

Los anuncios de Facebook e Instagram

Me pasa mucho que me preguntan por tal o cual artículo que han visto con una oferta de un anuncio de Facebook. Si bien hay unos pocos que son de verdad legítimos, la mayoría de los que he tenido que investigar a petición de familiares y amigos son sitios fraudulentos.

¿Cómo se sabe si un sitio es fraudulento?

Según la normativa española, las webs, sobre todos las que venden productos o servicios, tienen que estar identificadas en tus términos y condiciones o el apartado legal. Sí, esos enlaces muy pequeños que hay, con suerte, al final de una web y que con mucha más suerte puede contener datos.

Si no hay datos que identifiquen a nadie en la web, ni CIF o dirección directamente no compres. Aunque haya un teléfono. No vas a poder hacer nada si no te llega el producto, si no sabes quién te vende algo.

En caso de que haya datos como el CIF o la dirección de la empresa, genial, ahora solo tienes que buscar ese CIF en sitios como Infocif, eiforma, empresite y ver cuantos años llevan operando, etc. Si la empresa es de reciente creación y ya está poniendo anuncios superatractivos en redes sociales, desconfío. En esos casos no compro.

Si están los datos, y además tienen tienda física, echo un vistazo en Streetview a ver qué aspecto tiene.

Otra comprobación que hago antes de comprar es pasarme por Trustpilot que es una web donde la gente valora empresas.

A partir de ahí, el sentido común me dice que si tras esas verificaciones todo es correcto me fio. Si no hay ni rastro ni caso. Y si es dudable, pues está en ti jugártela. Pero al menos lo habrás hecho con datos en la mano.

Por ahora os dejo con estos consejos, iré ampliándolos y explicando lo que se para evitaros sustos y engaños. Ni que decir tengo que, si te ha pasado algo de esto, estaría guay que dejaras un comentario.

El Efecto Dominó de la Piratería

Cuando piensas en piratería, probablemente imaginas a alguien descargando un software de un sitio web cuestionable. Sin embargo, el impacto es mucho más amplio. Cada vez que un usuario opta por un programa pirata, se reduce la base de usuarios de software libre. Esto significa que los desarrolladores de software libre, que a menudo dependen de una comunidad activa y comprometida, se ven perjudicados. Con menos usuarios, hay menos incentivos para mejorar y mantener el software. 

La Reducción de Recursos para el Software Libre

El software libre se basa en la colaboración y el compromiso de la comunidad. Si los usuarios optan por programas piratas en lugar de contribuir a proyectos de software libre, se reduce el número de personas que pueden ayudar a desarrollar y mejorar estos programas. Esto crea un círculo vicioso: menos usuarios, menos soporte, menos desarrollo. Así, la calidad del software libre puede verse comprometida, y esto es algo que todos los usuarios, tanto de software libre como privativo, deberían tener en cuenta.

El Usuario Final y los Peligros de la Piratería

Ahora, hablemos de nosotros, los usuarios finales. Cuando optamos por programas piratas, a menudo no somos conscientes de los riesgos que estamos asumiendo. No solo estamos eligiendo un software que no ha pasado por los mismos estándares de calidad y seguridad que una versión legítima, sino que también estamos abriendo la puerta a una serie de peligros que pueden afectar a nuestro sistema operativo y a nuestra información personal.

Malware y Cripto-mining

Uno de los peligros más comunes asociados con el software pirata es el malware. Muchos programas piratas vienen empaquetados con software malicioso que puede dañar tu sistema operativo, robar tus datos o incluso utilizar tu ordenador para actividades ilegales como el cripto-mining. Esto no solo afecta el rendimiento de tu computadora, sino que también pone en riesgo tu privacidad y seguridad en línea.

Un ordenador con Windows sin un solo crack no es necesario formatearlo con frecuencia.

Ataques a Otros Ordenadores

Además del malware, los programas piratas pueden convertir tu ordenador en un nodo de ataque, utilizando tu conexión a Internet para lanzar ataques a otros ordenadores. Esto no solo es ilegal, sino que también puede tener consecuencias graves, incluyendo la posibilidad de que tu IP sea bloqueada o que te enfrentes a acciones legales. En un mundo donde la ciberseguridad es cada vez más importante, la piratería solo añade un nivel más de riesgo que todos deberíamos evitar.

Alternativas Legales y de Calidad

Ahora que hemos reflexionado sobre los peligros y los efectos de la piratería, hablemos de soluciones. No tienes que caer en la trampa de la piratería para acceder al software que necesitas. Hay muchas alternativas legales y asequibles que pueden satisfacer tus necesidades.

Software Libre: Una Opción Viable

El software libre ha avanzado a pasos agigantados en los últimos años, y hoy en día, hay opciones de alta calidad disponibles para casi cualquier cosa que necesites. Desde suites de oficina como LibreOffice hasta programas de diseño gráfico como GIMP, hay alternativas que no solo son legales, sino que también son increíblemente potentes. Al elegir software libre, no solo estás apoyando a una comunidad en crecimiento, sino que también te estás asegurando de que tu ordenador esté libre de peligros innecesarios.

Los mejores proyectos de software libre que conozco son estos:

• Linux, el sistema operativo de software libre que hace que funcione el 60% de internet. (Fuente)
• LibreOffice, es la base de GoogleDocs, por ejemplo. Puedes usarla en cualquier sistema operativo, gratuitamente y es super completa. (Descarga)
• VLC, el reproductor de vídeo que no puede faltar en ningún ordenador. Lo reproduce todo y lo hace muy bien. (Descarga)
• Mozilla Firefox, en sus inicios era Netscape y a día de hoy sigue estando entre los mejores navegadores. Actualmente tiene el 2,7% del mercado liderado por Google Chrome que está basado en Chromium, también de código abierto.
• WordPress, el sistema que sustenta el 43,5% de las webs a nivel mundial. ¡Ahí es nada! (Fuente)
• Y otros más específicos como: OBS Studio, Krita, InkScape, MySql, Git, NextCloud, Blender, Audacity, JitSi, TensorFlow, Docker…

Licencias Asequibles

Si prefieres utilizar software comercial, hay maneras de hacerlo de forma legal y asequible. Muchas empresas ofrecen descuentos para estudiantes, así como licencias de grupo que pueden reducir significativamente el costo. 

Te dejo algunos enlaces con precios muy reducidos para que no necesites piratear en Windows:

• Windows
  • Windows 10 Home 29$, unos 26,5€
  • Windows 10 Pro por 19$, unos 17,38€
  • Windows 11 Home 29$, unos 26,5€
  • Windows 11 Pro por 19$, unos 17,38€
• MS Office
  • MS Office Pro Plus 2019 por 24$, unos 22€
  • Microsoft 365 durante 1 año por 39$, unos 35,70€

Para MacOS

• MS Office Home & Business 2019 por 24$, unos 22€
• Microsoft 365 durante 1 año por 39$, unos 35,70€

Reflexiones Finales

La piratería informática puede parecer un atajo tentador, pero las implicaciones van más allá de lo que muchos consideran. Afecta a los desarrolladores de software, al ecosistema del software libre y a cada uno de nosotros como usuarios finales. Al optar por alternativas legales, no solo te proteges de peligros innecesarios, sino que también contribuyes a un mundo digital más saludable y sostenible.

Así que la próxima vez que consideres descargar un programa pirata, piénsalo dos veces. Optar por el software legal no solo es la decisión más segura, sino también la más responsable. Y como te he demostrado por menos de 50€ puedes tener tu ordenador con Windows y Office legal, la mayoría no necesita mucho más. ¡Explora las opciones disponibles y sorpréndete con la calidad que el software libre tiene para ofrecer!

Pero oye, que esto ha cambiado hace mucho. Desde Dropbox, el que menos tiene un disco en línea dónde pone algunos datos privados. Todos tenemos una cuenta de correo electrónico y eso sí que es privado.

La mayor parte de las personas tienen un grave problema con las contraseñas. Las ponen, creen que las van a recordar siempre o saben que no la van a recordar nunca, en ambos casos, no se preocupan mucho y viven su vida hasta que la vuelven a necesitar y llegan los sudores fríos. Están los que tienen su libreta en papel y como nunca la llevan encima no les sirve de mucho. Y están los que las apuntan en una nota o un archivo de Word en el ordenador. ¿Sabéis una cosa? Es mejor olvidarla que tenerla apuntada en papel o en un archivo del ordenador.

De todas formas, este artículo tiene la intención de hacer lo que, siempre recomiendo, espera que remarque un poco más:

Si algo te da miedo, te causa ansiedad o te supone un problema, enfréntate a ello. Ponle solución. Se acabó para siempre.

Este artículo es para los que queréis dejar de tener un problema con las contraseñas para siempre, tenéis un iPhone o un Mac, un iPad o todos ellos. Lo siento por los de Android, pero no conozco vuestra plataforma. Hay soluciones, seguro.

Seguridad en el iPhone

Con iOS 18, Apple ha hecho más fácil y visible la gestión de contraseñas que antes estaba un pelín oculta. Esto hace que en lugar de tener que pagar por una solución de terceros, podáis gestionar vuestras contraseñas de manera segura y gratuita.

La app se llama, redoble de tambores, Contraseñas y la vais a encontrar instalada en cuanto actualices tu teléfono/iPad a iOS 18. La encontrarás fácilmente porque el icono es de unas llaves y bastante feo para mi gusto.

Como puedes imaginar, está totalmente integrada en el sistema operativo, así que todo lo que guardes ahí lo podrás recuperar desde casi cualquier App o web.

¿Qué cosas se pueden guardar en esta app?

• Contraseñas de páginas web
• Contraseñas de apps
• Códigos de verificación en 2 pasos
• Contraseñas de redes wifi
• Llaves de acceso (passkeys)

No está nada mal. Tiene todo lo necesario y lo bueno es que cuando la abras por primera vez ya tendrás contraseñas guardadas, porque esto existe desde antes del iPhone, si tenías Mac y desde hace varias versiones estaba en iOS y en iPadOS pero escondido en los ajustes.

¿Cómo se usa?

Guardar contraseñas

De forma automática

Como no queremos agobios vamos a empezar por lo fácil, entras en una web usando safari en tu iPhone o iPad y te das de alta en una web nueva, por ejemplo https://www.filmaffinity.com que es una web de recomendación de series y películas que te va a venir superbién conocer.

Haz clic en el icono de la flecha para registrarte, rellena los datos y al pulsar en el campo “contraseña” para escribir es cuando aparece el genialísimo “GUARDAR Y RELLENAR” que generará una contraseña supersegura y larguísima para ti y la guardará en la app contraseñas para que la próxima vez la recuerde por ti.

De forma manual

Si quieres, también puedes añadir usuarios y contraseñas a la app de forma manual. Para ello abre la app “contraseñas”.

Pulsa sobre el icono + que hay abajo a la derecha

Aparecerá una pantalla dónde puedes poner la web (1), el nombre de usuario (2), la contraseña (3) y añadir unas notas para recordar algún dato que necesites.

A la hora de escribir la contraseña verás que abajo, sobre el teclado te hace una sugerencia, siempre pulsa sobre la sugerencia, pues será una contraseña segura, y como no es necesario que la recuerdes, porque ahora esta aplicación la recordará por ti, estará todo como tiene que ser.

Cuando acabes pulsa en “Guardar” y verás que todo se queda preparado.

Cuando está todo listo, por un lado, te informará del nivel de seguridad de tu contraseña. Si has elegido la que te ofrece pondrá “Contraseña segura”.

Además, tienes la opción de configurar una contraseña OTP, o 2FA. Para ello pulsa sobre “Configurar código de verificación”.

A continuación tienes dos maneras de añadir el código, bien escaneando el código QR que te aparecerá en la pantalla (2) o bien añadiendo la semilla de generacion llamada «Clave de configuración» (1) que es una cadena alfanumerica única.

Una vez añadida, al entrar a la web, te rellenará el usuario, la contraseña, el código de seguridad sin que tengas que hacer más que un clic.

Conclusión

Ahora tienes la herramienta para hacer que las contraseñas no vuelvan a ser un problema nunca más. Además, es gratis y encima se sincroniza con todos los dispositivos.

Peeeeeeero…. si no haces un mínimo esfuerzo por mantenerlo actualizado, por guardar las contraseñas, por ir cambiando las contraseñas que ya tienes por contraseñas mejores poco a poco, esto no servirá de mucho.

Puede sonar pesado, pero te alegrarás cuando lo tengas bien. Alégrate por cada web que ya tengas bien y te irás sintiendo más seguro cada vez. Ahora está en ti.

Fase I

En primer lugar se debe solicitar la carta de invitación a la agencia tributaria para hacer el trámite. Con este procedimiento lo que hacen es enviarte una carta a tu domicilio oficial para, de alguna manera, asegurarse de que eres realmente tu quien está solicitando la Cl@ve, ya que esta te autenticará oficialmente y legalmente en la administración.

Si tienes DNI Electrónico y sabes como usarlo o Certificado Digital expedido por la FNMT entonces pincha en la opción correspondiente de la web y salta a la fase II.

Para solicitar dicha carta ve a la web de la agencia tributaria pinchando en este enlace.

Al hacer clic ahí te llevará a la siguiente pantalla en la que se te pedirá tu número de DNI y la fecha de caducidad del mismo.

Cuando hayas introducido estos datos, si son correctos aparecerá el siguiente mensaje:

Para registrarse en Cl@ve es necesario disponer de una carta de invitación.
¿Quiere que le enviemos una carta de invitación a Cl@ve a su domicilio fiscal?

Deberás pulsar sobre el botón que pone: “Si, envíenme una carta de invitación a mi domicilio fiscal.

Verás también que arriba a la derecha ahora aparece tu nombre y apellidos correctamente. En la imagen los he emborronado por razones obvias de seguridad y privacidad.

Ahora tendrás que esperar a que te llegue la carta a casa para continuar con la Fase II.

Fase II

Ya te ha llegado la carta. ¿Que tienes que hacer? Volver a la web donde comenzaste el proceso de alta: https://www.agenciatributaria.gob.es/AEAT.sede/procedimientoini/GC27.shtml

De nuevo, te pedirá tu número de DNI y la fecha de caducidad.

En este caso, el sistema ya reconoce que se nos ha enviado la carta de invitación por lo que te da la opción de marcar que ya te ha llegado, o en caso de no haberla recibido habiendo pasado ya una semana pedir una nueva.

En la carta aparece un Código Seguro de Verificación (CSV). Deberás introducirlo en la siguiente casilla.

Tras introducir el código que te enviaron te aparecerá una pantalla en la que deberás introducir tu teléfono y correo electrónico para que queden registrados en el sistema como puede verse en la siguiente pantalla.

Cuando los rellenes y marques la casilla aceptando los términos y condiciones del sistema Cl@ve te aparecerá una pantalla de confirmación y podrás descargar un justificante de haber hecho el trámite con instrucciones sobre el uso de la clave pin.

Y esto es todo. A partir de aquí, debes instalar la app en tu móvil ya sea Android o iOS, ya que es esta la que generará los códigos de Cl@ve Pin cuando algún servicio lo requiera.

Normalmente, para esto, se usan los certificados electrónicos. Pero no son pocas las personas que tienen muchas dificultades en obtenerlos y más aún en configurarlos.

De ahí que la cl@ve pin sea una solución excelente poniendo lo mejor de los certificados digitales al alcance de cualquiera.

El sistema es sencillo, una vez dado de alta en la plataforma, se instala una app en tu móvil con tus credenciales y cada vez que quieras hacer un trámite se genera una petición que hace que en la app aparezca una clave única de un solo uso. Por lo que no hay que recordar usuarios, contraseñas ni nada parecido.

Cómo registrarse

El registro se puede hacer de forma presencial en una de las oficinas de registro habilitadas a tal efecto como se explica en esta web de la agencia tributaria.

O se puede hacer por vía telemática de dos maneras:

• Con certificado electrónico. Al ser el certificado una forma veraz de comprobar tu identidad la obtención del registro en Cl@ve será instantánea.
• Sin certificado electrónico. Esta es la mayoría de los casos. En ese caso hay que registrarse para pedir un código de activación que te llegará a casa por correo postal como medio de verificación de la identidad.

Funcionamiento

Como decía en la introducción, al acceder a un trámite electrónico que admita el sistema Cl@ve se te pedirá tu número de DNI y la fecha de caducidad del DNI.

Una vez hecho esto, la web en cuestión, de forma transparente, lanzará una petición de clave, por lo que ahora, si abres la aplicación aparecerá dicha clave, que deberás copiar y pegar en la web en la que quieres hacer el trámite.

Si abres la aplicación sin iniciar primero una petición a través de una web oficial aparecerá una pantalla en la que se te avisa de que no hay ninguna clave porque no se ha hecho ninguna solicitud como puedes ver en la captura de pantalla.

Usos principales

• Acceso a consulta y presentacion de documentos en la agencia tributaria.
• Ahora que estamos en campaña de la renta, se puede visualizar los datos fiscales, consultar el borrador e incluso confirmarlo para presentar la declaración.
• Acceso al carné de conducir virtual de la aplicación MiDGT con plena validez legal.
• Trámites de la seguridad social, como obtener un certificado de vida laboral en el momento.
• En general, todas las administraciones deben estar adaptadas al sistema Cl@ve desde 2016.

Esta es la web de Cl@ve con toda la información al respecto.

https://clave.gob.es/clave_Home/clave.html

Conocí a una persona que usaba un truco. Pongamos que su contraseña era siempre: caballo, pues bien, si la usaba para gmail ponía como contraseña caballo.gmail, si la usaba para Facebook ponía caballo.fb. Esto, que a priori parece una buena forma de tener contraseñas distintas para cada web que sea fácil de recordar en realidad no aporta nada ya que en los diccionarios de los hackers están los nombres de los servicios, como es lógico, y todos sus acrónimos. Resumiendo: una contraseña distinta para cada web es una contraseña distinta para cada web.

Mientras los grandes de la tecnología inventan una forma de que no necesitemos contraseñas debemos buscar alternativas que nos faciliten la tarea.

iOS/Mac llevan su propio gestor de contraseñas, el conocido como “llavero del sistema”. Si usas safari en cualquier dispositivo te habrás dado cuenta de que te permite guardar los datos del usuario y no tener que meterlos la próxima vez que entres. Sin embargo tiene dos problemas:

1. Solo es compatible con Safari.
2. No gestiona la autentificación en dos pasos.

Y tiene dos ventajas muy grandes:

1. Es transparente para el usuario, es decir, lo usas sin tener que aprender como funciona.
2. Se sincroniza en tus dispositivos y reconoce el usuario y contraseña incluso dentro de las apps.

Antes de que Safari gestionara las contraseñas así de bien no había más remedio que usar algún programa de gestión de contraseñas. 

Estos programas te permiten guardar dentro todos tus usuarios de las diferentes webs, tus datos personales, DNI, pasaportes, notas seguras,… y desde hace algún tiempo también las contraseñas temporales para la autenticación en dos pasos. 

Yo soy usuario de 1Password desde hace muchos años. Y es mi gestor de contraseñas favorito. A día de hoy pago la suscripción anual para usarlo, ya que me permite varias cosas:

1. Sincronizar entre iOS, MacOS y Windows. 
2. Gestionar las contraseñas temporales para la autenticación en dos pasos fácilmente. 
3. Se integra con iOS para rellenar contraseñas. Por desgracia aún no es capaz de guardar nuevas desde el navegador como si hace el llavero de Apple. 

Pero al mismo tiempo sigo usando el llavero porque poco a poco mejora mucho y que se integre en Apps e incluso permita rellenar usuarios y contraseñas en el Apple TV me resulta muy cómodo. 

Los gestores de prestigio que conozco son estos:

• 1password
• LastPass
• Dashlane

Cualquiera de ellas es suficientemente buena. Dependerá de tus gustos personales elegir una u otra. Todas son multiplataforma y de pago. 

Para integrar cualquiera de ellas en iOS hay que hacer lo siguiente:

1. Ve a Ajustes> Contraseñas y cuentas
2. Ahora pulsa en “autorellenar contraseñas”. Si no está activado, hazlo.
3. Verás que debajo de la activación pone: “Permitir relleno automático desde”. Y te lista las aplicaciones que tengas que gestionen contraseñas.
4. En mi caso aparecen tres.
   1. El llavero de iCloud
   2. 1Password
   3. Lockwise

Yo tengo marcadas el llavero de iCloud y 1Password. Lockwise es el gestor de contraseñas de Firefox. Cuando usas Firefox en Mac, Windows, o Linux y tienes activada la sincronización en la nube de configuraciones y contráelas mediante esta app puedes integrar esa funcionalidad de iOS. El punto débil de esta app, que si es gratuita es que no te permite, aún, añadir elementos manualmente. Solo aparecen los que se añadan mediante Firefox, y nada de contraseñas de la autenticación en dos pasos. 

Un gestor de contraseñas es como el Anillo de El señor de los anillos. Es la manera de mantener las contraseñas bajo control. Yo lo uso, incluso, para las contraseñas de las cuentas de mis padres que son muy dados a preguntarme a mi que contraseña pusieron en tal o cual sirio. 

Por supuesto anoto ahí la licencia de cada programa que compro. Tengo los datos bancarios: números de cuenta, tarjetas, con la caducidad y el CVV y las contraseñas temporales de todos los sitios. 

Otra característica que me gusta de 1Password es que se integra con https://haveibeenpwned.com cuyo nombre significa ¿he sido comprometido?. Se trata de una web muy útil. Metes tu correo electrónico y te dice cuantas veces te han robado la contraseña y por tanto está circulando por el mercado negro de los hackers. A veces el robo de datos va más alla: datos bancarios, direcciones, teléfonos… por eso os recomiendo registrar vuestros correos, ver si habéis sido comprometidos, si es así, cambiar la contraseña cuanto antes y si no, registraros para que la web os avise cuando se produzca un robo de vuestra información. 

A menudo estos robos no son contra vosotros solo, suele tratarse de ataques contra webs, como el famoso robo a Dropbox en 2012, en el que se hicieron con cientos de miles de usuarios/contraseñas del servicio. 

De nuevo, espero haberos servido de ayuda y concienciaros un poco más con esto de la seguridad en internet.

Lo que se hace es añadir una capa extra de seguridad tras el usuario y contraseña de una manera que hace que es mas probable que seas tu y no otro haciéndose pasar por ti quien está entrando en la web o usando un servicio.

La idea que subyace tras todas ellas es la misma, si requiero de un elemento físico para poder acceder a una web o servicio es casi imposible que un atacante que esté en el otro lado del mundo pueda hackear tu cuenta porque además del usuario y contraseña debe tener acceso a algo físico tuyo.

Hay varias aproximaciones a esta técnica que cada vez está más extendida: las basadas en un teléfono, ya que es algo personal que llevamos con nosotros y las que se basan en un dispositivo dedicado como un USB criptográfico. 

Los basados en un teléfono inteligente

Mediante clave temporal

• El SMS de verificación: cuando introduces tu usuario y contraseña te llega un SMS al móvil que hayas dado de alta para que introduzcas el código en una casilla.
• Llamada telefónica: cuando no es posible recibir SMS por problemas en la red, suele existir la posibilidad de que la verificación se haga mediante un robot telefónico que nos dice el código que debemos introducir en la web.
• Contraseña temporal: mediante programas de autenticación se generan contraseñas temporales para cada web que cambian cada 30 segundos. Al entrar a la web con tus credenciales se te pedirá la contraseña temporal que esté activa en ese momento.

El funcionamiento de la clave temporal es muy sencillo para el usuario, tras introducir el usuario y la contraseña aparece un campo donde introducir una contraseña temporal, generalmente de 6 números. Esta clave la genera un programa instalado en tu móvil, aunque no tengas internet, y si coincide te deja acceder. Es como un santo y seña que se cambia cada 30 segundos. 

Configuración

Vamos a ver cómo se activa este sistema. Generalmente los pasos son parecidos en todas las plataformas, así que voy a enseñaros cómo se activa Dropbox, por ejemplo. 

En primer lugar, entrarás en la web de Dropbox y pulsarás sobre la imagen de tu perfil (1) y luego sobre configuración (2).

Luego en la pestaña de seguridad (3).

La tercera opción que hay es la verificación en dos pasos (4), que como puedes leer requiere de una llave o un código de seguridad. En este caso usaremos el código de seguridad. Para activarlo pulsa en el boton (5) para activarlo.

Antes de activarlo, dropbox te informa de lo que implica activar esta capa de seguridad adicional.

Luego tendrás la opción de usar un SMS de verificación o una aplicación que genere dichos códigos.

Puedes elegir la opción que prefieras, para este ejemplo elije la opción de Usar aplicación móvil (6).

En estos casos siempre aparecerá un código QR (7) que debes escanear con una aplicación de autenticación para que se sincronicen las claves. Las aplicaciones más comunes son las siguientes:

• Google Authenticator
• Microsoft Authenticator
• Authy
• Y por supuesto, todas los gestores de contraseñas como LastPass o 1Password llevan incluida esta opción.

Abre la aplicación que hayas elegido y pulsa en el signo +para añadir una nueva clave. Escanea el código QR y verás que aparece en la pantalla de tu móvil un código de 6 cifras con una cuenta atrás de 30 segundos. Cada vez que pasan esos 30 segundos el código cambia.

Pulsa sobre siguiente en la web de dropbox. Te pedirá que introduzcas el código que te aparece en la app para comprobar que la configuración ha ido bien.

¡Listo! ya has configurado tu primera autenticación en dos pasos. 

Otros sistemas

• Programas de autenticación propios, como los de Microsoft, Google o Apple que permiten que ese segundo paso sea mucho más sencillo de verificar.

Estas tres empresas, entre otras, están impulsando tecnologías que permitan que nos olvidemos de las contraseñas, que eran un sistema útil en el pasado, pero se ha vuelto muy vulnerable por la cantidad de contraseñas que necesitamos, lo que hace que acabemos usando la misma para todo.

Cada una de ellas, ahora mismo estan usando métodos distintos, aunque han creado una alianza para conseguir un estándard. Mientras tanto sus apps ofrecen tres aproximaciones distintas e interesantes a la vez:

• Apple te muestra una pantalla emergente en tu dispositivo con el código a introducir en la web de iCloud, por ejemplo.
• Google, mediante la app Google para iOS te muestra una notificacion cuando entres en su web que te pregunta si eres tu quien está accediendo. Aceptando la notificación tendrás acceso a gmail. 
• Microsoft tiene el sistema que más me gusta, porque elimina la necesidad de contraseña totalmente. Metes tu usuario y al darle a aceptar te manda una notificación a su app con un mensaje para que elijas uno de tres números. En la pantalla del navegador se aparece uno de ellos. Haciendo clic en el que aparece en la web entrarás a office365 por ejemplo sin necesidad de contraseñas.

Los basados en un dispositivo físico dedicado

• Llave de seguridad FIDO/U2F: que es un USB criptográfico, no es un pendrive para guardar archivos. Cuando introduces tu usuario y contraseña en una web te pedirá que insertes la llave USB y que toques su superficie para asegurarse de que estás ahí.

Este sistema es equivalente a los de la clave temporal, solo que, digamos, que la clave temporal se introduce sola al tocar la llave una vez insertada. Sin embargo aun son pocas las webs que permiten el uso de estos dispositivos y están mas enfocados a la seguridad empresarial que a la de los usuarios finales.

¿Cuál es la mejor contraseña? ¿Tu cual dirías?:

• la más larga
• La que tenga más símbolos
• La que tenga más mezcla de todo: números, mayúsculas, minúsculas, símbolos

Para entenderlo lo mejor es saber cómo funcionan los métodos de descifrado de contraseñas que usan los hackers:

1. Diccionarios: como lo lees, son listas de palabras en uno o varios idiomas tal cual. También pueden ser listas que circulan en internet con las contraseñas que se roban por ahí. De manera que si ya te han robado la contraseña de una web y la tienes en otra es muy probable que te roben la cuenta. 
2. Fuerza bruta: básicamente es ir probando todas las combinaciones posibles de cada carácter que se puede escribir. Por ejemplo: aaa, aab,…, aba, aca,… y así para la longitud que se quiera. 

El método de los diccionarios nos enseña que es mejor no usar contraseñas que ya hayamos usando en otros sitios. Cada web una contraseña.

El método de la fuerza bruta nos enseña que da igual mezclar letras con números, mayúsculas y caracteres porque lo van a probar todo así que la acabarán encontrando. Eso si, tardarán bastante. 

Por tanto, ¿si no hay contraseña 100% segura, que hago? Usa una contraseña que no les merezca la pena descifrar porque les lleve tanto tiempo que prefieran ir a por otro mas incauto. 

Normalmente las webs nos piden contraseñas de 8 caracteres, así que voy a basarme en ellas para hacer las cuentas. 

Si usamos solo números, existen 100.000.000 posibilidades que una máquina tendría que probar para saber que número hemos puesto. 

Si la contraseña tiene solo letras, teniendo en cuenta que hay 26 letras en el alfabeto más la ñ que la vamos a obviar, una contraseña de 8 caracteres que es lo normal contiene 208.827.064.576posibilidades. Bastantes más. 

Si usamos letras mayúsculas y minúsculas todo cambia mucho: 53.459.728.531.456 combinaciones. 

Y si a eso le añadimos números: 218.340.105.584.896 opciones. Mejora un poco. 

Si usas símbolos la cosa mejora mucho o poco en función de cuantos estén permitidos, a menudo dejan usar *+[]{}#.,¡!_-\/:;()= a veces ni siquiera todos estos. En este caso son 20 símbolos. Por lo que sumado a lo anterior nos da 2.044.140.858.654.976

Se estima que un procesador de calidad media, un Intel Core i5-6600k procesa 11344618.21 caracteres por segundo. Eso significa que la contraseña de 8 números la descifraría en 8,81 segundos. Y la más segura que usa todo tardaría casi 6 años. ¡Hay mucha diferencia!

Pero claro, ¿quien recordaría una contraseña del tipo m!\4sB/= para cada web? Sería imposible o al alcance de muy pocos. 

Deja de pensar en los gestores de contraseñas, hablaremos de ellos más adelante. 

No podemos perder de vista que, además de ser buena, una contraseña debe ser fácil de memorizar. Es por eso que hay trucos. Pero primero os voy a decir cosas que no son trucos:

• usar números para sustituir vocales: c0ntr4s3ñ4. 
• Usar caracteres para sustituir vocales: c*ntr*s*ñ*

¿Cual es el truco que yo uso? Uso tres palabras al azar, para que no tengan nada que ver conmigo. La primera empieza por mayúscula, la segunda acaba en mayúscula y la tercera empieza en mayúscula y añado un número al final. Y las separo usando caracteres especiales. Por ejemplo: Salvar*soldadO.Ryan1

Es fácil de recordar y no solo cumple con las normas, además es más larga, por lo que se vuelve casi imposible de descifrar. Se tardarían millones de años. 

No hace falta que diga que no es exactamente como yo lo hago, y que os recomiendo modificar mi truco para adaptarlo de manera que os sea sencillo. 

Recursos para obtener palabras aleatorias: 

• [Palabras aleatorias] https://www.palabrasaleatorias.com
• What3words

What3words es una web que ha dividido el mundo en una cuadrícula y a cada cuadro le ha asignado 3 palabras aleatorias. Puedes coger de ahí las palabras que correspondan a lugares interesantes. Pero recuerda, en cualquier momento pueden incluir esto en sus diccionarios porque todo el mundo empezará a usar las tres palabras De la Torre Eiffel, o el capitolio. 

Os he recomendado estos sitios porque no son para crear contraseñas. Se que hay webs que generan contraseñas aleatorias automáticamente pero, ¿Quién te dice que en realidad no están habiendo diccionarios para luego hackear mas rápido? Estamos en un momento de internet en el que no debes fiarte de nada por lo que es mejor usar generadores de contraseñas aleatorias de las que estes seguro. 

Os pongo un Atajo de iOS que hace precisamente eso. Generar contraseñas. 

Lo normal no es usar solo la fuerza bruta por los tiempos que se manejan, normalmente se mezclan diccionarios con fuerza bruta lo que acorta enormemente los tiempos. Y en el caso de ataques dirigidos a personas concretas o colectivos se crean diccionarios concretos que incluyen palabras que tengan que ver con esa o esas personas, como nombres de familiares, DNI, fechas, etc, porque está demostrado, y ahora os estáis riendo, que la mayor parte de la gente usa su año de nacimiento o el de algún familiar y el nombre de alguna persona cercana o ciudad donde vive para hacerse las contraseñas.

La finalidad del artículo es ayudar a que os protejáis mejor, no dar una clase sobre hackeo. La información que se incluye al respecto es meramente informativa, a nivel cultura general de internet. Hay muchos más métodos y más elaborados para el hackeo, pero con estas recomendaciones y las que os daré en siguientes artículos se lo vais a poner más difícil que nunca y vosotros lo vais a tener mas sencillo para manejar las decenas de contraseñas que manejamos en nuestro día a dia.

Espero que os haya servido de ayuda.

En este primer artículo os voy a hacer una lista para que podáis hacer lo que ya sepáis. Y en próximos artículos iré explicando cómo hago yo cada una de esas tareas. 

Partiré de la base de que yo uso iPhone, iPad, Mac y un PC. Por tanto podré explicar cómo hacer esto desde el sistema Android aunque la filosofía es similar por lo que si este es tu caso, podrás traducirlo a tu sistema fácilmente. 

Seguridad

• Cambio de contraseñas.
• Activación de verificación en dos pasos.
• Cerrar las cuentas en webs que ya no uses.
• Comenzar a usar un gestor de contraseñas para hacer todo más fácil.
• Revisar la configuración de seguridad de las redes sociales.
• Configurar una copia de seguridad de los archivos del ordenador.

Vida digital

• Ordenar las fotos y los vídeos
• Escanear fotos antiguas y añadirles los metadatos
• Organizar las nubes (Dropbox, GDrive, iCloud, …)
• Revisar discos duros para ver en qué estado físico están y saber si son fiables
• Reordenar la información de nuestra vida digital para que sea todo más sencillo.

Yendo más allá

• Obtener un certificado digital para hacer la mayor parte de los trámites desde el ordenador o el móvil.
• Obtener una Cl@ve PIN como sustituto o complemento del certificado digital.
• Activar el carnet de conducir en el móvil con la app MiDGT.
• Automatiza cosas de tus dispositivos.

Con un par de estas cosas que hicieras ya habrías ganado mucho en calidad de vida digital. Te aconsejo que te lo tomes en serio porque las ventajas se ven rápido.