En el año que ha terminado hemos asistido al reconocimiento por parte de Yahoo de la mayor fuga de información de la historia. En septiembre, el gigante de internet admitió el robo de al menos 500 millones de correos electrónicos, contraseñas, nombres de usuario, fechas de nacimiento, números de teléfono y, en algunos casos, preguntas de seguridad con sus correspondientes respuestas. Poco después, ya en diciembre, la compañía anunciaba que hasta 1.000 millones de cuentas se podrían haber visto comprometidas en otra filtración.
No ha sido la única gran crisis de seguridad de 2016. Los datos personales de los empleados de Snapchat (nombres, números de la Seguridad Social, salarios…) cayeron en malas manos a causa del engaño conocido como ‘whaling’. Los ciberdelincuentes se hicieron pasar por Evan Spiegel, CEO de la compañía, para conseguir dichos datos por la vía de la suplantación de identidad.
Las credenciales de 117 millones de usuarios de LinkedIn, 68 millones de usuarios de Dropbox o 1,5 millones de clientes de Verizon también terminaron en manos de ciberdelincuentes o a la venta en la internet oscura. De estas y otras malas noticias que hemos recibido en 2016, hay unas cuantas lecciones que podemos aprender:
1- Ninguna contraseña se libra
A estas alturas, tras tal cantidad de fugas de información, lo más probable es que cualquier contraseña que se lleve utilizando unos años esté comprometida. No hay servicios mucho más seguros que otros ni uno del que nos podamos fiar ciegamente. Así las cosas, lo más sensato es cambiar todas las contraseñas que lleven en uso cierto tiempo, y hacerlo por una diferente en cada servicio. El mayor peligro es la reutilización de claves.
2- Las preguntas de seguridad son parte del problema
Nada más conocerse su fuga de información, Yahoo deshabilitó las preguntas de seguridad del tipo “¿cuándo es el cumpleaños de tu madre?” o “¿de qué color era tu primer coche?”. Ya no se trata solo de que las respuestas se puedan averiguar investigando los perfiles en redes sociales de las potenciales víctimas, sino de que muchas, directamente, han sido robadas. A diferencia de las contraseñas, datos como estos no pueden cambiarse. De sustituirse por otros falsos, sería para el usuario como recordar dos claves diferentes, con el riesgo de olvido y recuperación que eso entraña. Es peor el remedio que la enfermedad.
3- Elimina los correos de registro
Como demuestran las crisis de seguridad mencionadas, los ciberdelincuentes cada vez otorgan más valor a los emails y contraseñas de los internautas. No es de extrañar, pues pueden ser la puerta a otras muchas cosas. Si roban tu clave de un servicio y utilizas la misma para tu gestor de correo electrónico, los intrusos tendrán acceso a cualquier correo de recuperación que decidan enviar desde cualquier página. Además, para localizar en qué sitios te has dado de alta con las mismas credenciales, pueden buscar todos los mensajes de registro que hayas recibido en los últimos tiempos. Para evitar que esto pase, es fundamental borrarlos nada más recibirlos.
4- Torres más altas han caído
Si gestionas una empresa, por pequeña que sea, no debes caer en el error de pensar que el robo de información tan solo afecta a los gigantes. No solo los ataques a pymes van en aumento, pues a menudo resultan más sencillos y rentables para los ciberdelincuentes, sino que además las consecuencias son mucho más graves. El riesgo de que una crisis de seguridad acabe con una compañía es mayor cuanto menores son sus dimensiones.
5- Sé franco y hazlo rápido
Si sucede lo peor, notificar el robo de información confidencial a tus clientes o usuarios no es algo que se pueda tomar a la ligera. Hay que avisar lo antes posible, con el mayor nivel de detalle que se pueda y sin minimizar el potencial riesgo. Ocultar o maquillar la verdad solo empeora las cosas. En primer lugar, los afectados no podrán cambiar sus contraseñas tan rápido como deberían (o pensarán que no es tan importante). En segundo, el daño a tu credibilidad será mayor cuanto más tiempo transcurra entre la fuga y el anuncio.