A medida que los ciberdelincuentes sofistican más sus ataques también nosotros debemos ir adaptando nuestras protecciones en una especie de juego de ratón y gato. Nada debe permanecer estático si queremos estar seguros.
Este Decálogo de la Ciberseguridad no es para el usuario normal de la calle que cree que no hay riesgos o que sencillamente piensa que esas cosas no le van a pasar a él. Son más bien para el que es consciente que éste es el nuevo mundo en el que nos toca vivir y que igual que no dejas tu casa con la llave puesta en la cerradura ni tu coche abierto tampoco olvidas estas reglas básicas para proteger lo que hoy día es aún más importante: tus datos.
En el mundo de la ciberseguridad se oye muy a menudo que no hay un 100% de seguridad, siempre hay un pequeño porcentaje que no se puede cubrir. Eso es cierto, pero no lo es menos que si sigues estas recomendaciones básicas te vas a encontrar entre los pocos que tienen ese 99% cubierto. Los atacantes tampoco quieren perder mucho tiempo en atacar a alguien bien protegido así que prefieren elegir presas fáciles. Si pones en practica estas recomendaciones serás un hueso muy duro de roer y los ciberdelincuentes no estarán interesados contigo.
Vamos allá!
1.- Activa la doble factor de autentificación. También llamado 2FA, es sin duda el mejor invento de seguridad de esta década y soluciona el 99% de los casos de robo de cuentas pero muy poca gente lo usa aún. Un informe de Microsoft revela que el 99,9 de sus cuentas hackeadas no usaban doble factor de autentificación. Este dato creo que lo dice todo. Casi todos los servicios importantes tienen esta funcionalidad y puedes activarlos con facilidad. Ponerlo en tu correo y en tus cuentas importantes es vital y no deberías estar ni un momento sin él. Es tan sumamente importante que muchos proveedores de servicios ya están habilitándolo obligatoriamente, como Google. Además con el 2FA activo ya no necesitarás contraseñas complejas que no puedas recordar pues aunque te la descubran tampoco podrán robarte la cuenta. Pongo en tus cuentas importantes como por ejemplo tu correo electrónico.
2.- Instala el mejor antivirus de pago tipo EDR (Endpoint Detection and Response) en móvil y ordenador. Los antivirus gratuitos, además de no ser fiables, realmente venden luego nuestros datos a otras empresas. No existe la "gratuidad". Toda compañía debe monetizar su servicio de alguna manera. Si no lo hacen directamente por una venta del servicio lo hacen de otra forma que no te dicen.....
3.- Si recibes un correo electrónico o llamada solicitando información personal o financiera, no facilitar ningún dato. A pesar de que sepan mucha información sobre nosotros no bajar la guardia. No nos imaginamos la cantidad de datos privados nuestros que hay disponibles en la Dark Web y en redes sociales.
4.- Si el mensaje te invita a acceder a un sitio web, a través de un enlace adjunto, no entrar. El phishing es la entrada del 90% de las amenazas. Es fácil de hacer y altamente efectivo. No es de extrañar que sea la vía de ataque que no para de aumentar cada año. Aquí el factor humano es el más importante. No piches si no estas completamente seguro de lo es.
5.- No acceder desde redes públicas. Todo lo que viaja por esa red puede ser visto por un delincuente en el medio de la comunicación. Conocido por "man in the middle attack."
6.- No descargar ni abrir archivos de fuentes no confiables. Evita el uso de aplicaciones bajadas de sitios no oficiales o piratas. Nunca sabes que trae ese paquete de software. Puedes estar instalando malware, ramsonware o spyware sin tu saberlo y poner en peligro tu equipo además de toda tu empresa.
7.- Mantener actualizado el software de nuestros dispositivos, Tanto del sistema operativo como de las aplicaciones. Las vulnerabilidades van apareciendo irremediablemente en todos los sistemas. Mantener tu móvil y ordenador actualizado con las últimas versiones del sistema operativo es la primera línea de defensa que debes cuidar. El tiempo es vital. Actualiza pronto y frecuentemente.
8.- Utiliza un gestor de contraseñas para crearlas complejas y no reutilizarlas en diferentes sitios. Además te impedirá que puedas entrar con ellas en sitios falsos. Si eres de los que buscan seguridad al máximo guarda la base de datos de estos gestores en tu disco local o en servicios privados como Dropbox o OneDrive. Si ocurre una brecha de seguridad como la de LastPass del 2022, tus bóvedas no se verán comprometidas.
9.- Date de alta en servicios de alerta de fuga de datos como https://haveibeenpwned.com/ o https://www.irongate.es/irongate-databreach y en cuanto te avisen cambia la contraseña de ese sitio. Si eres cliente de ironGate puedes estar tranquilo pues ya estás suscrito automáticamente. Todos nuestros servicios lo incluyen sin recargo. Puedes comprobar tus fugas en https://www.irongate.es/databreach
10.- Cuando se trata de ciberseguridad la primera norma es “Estate tranquilo pero desconfía por defecto”
¡Solo 10 reglas para y disfrutar de estar seguro!
Si estás en entorno empresarial
1.- Evita el BEC (Business Email Compromise ) o Fraude del CEO donde una cuenta comprometida dentro de su propia empresa (del CEO o alguien similar en jerarquía) se usa para persuadir a alguien en el departamento de finanzas para que cambiar los detalles de la cuenta del destinatario justo antes de que venza un pago importante.
El informe sobre cibercrimen del FBI de 2019 indica que las pérdidas por los ataques de Business Email Compromise son de aproximadamente 1.700 millones de dólares, lo que representa casi la mitad de todas las pérdidas debidas a los cibercrímenes. Podemos suponer que en el 2023 estaremos en 3.000 millones de dólares. Curiosamente es el ataque menos costoso para los cibercriminales Microsoft BEC tweet
Como evitarlo:
Una de las mejores medidas que pueden tomar los individuos para evitar el engaño es confirmar telefónicamente que el supuesto remitente del correo electrónico sospechoso realmente envió la comunicación. Así de sencillo. Tu departamento financiero debe tener esa orden grabada a fuego.
2.- Nadie de la empresa, ni siquiera el departamento de IT, debería usar su equipo con derechos administrativos. Si un equipo es infectado por cualquier malware se ejecutaría con los derechos del usuario que está activo en ese momento y podrá hacer cambios drásticos en el equipo, desde instalar cualquier programa o borrar y encriptar archivos.
Como evitarlo:
El equipo de IT es el único que debería tener dos perfiles. El perfil de administrador para solo usarlo en momentos determinados donde se requiera de tareas de configuración y de mantenimiento de esa maquina y volver a su perfil de usuario restringido para el trabajo normal del día a día.
3.- Cifra el contenido del disco duro de los portátiles. Si te roban o pierdes tu portátil, por muy protegido que se encuentre mediante contraseñas, tiene sus datos accesibles. Solo es necesario sacar el disco duro y ponerlo como segundo disco de otro equipo. También hay herramientas muy sencillas de usar que lo pueden leer para después filtrar la información que se quiera. La guardia civil sabe bien como hacer este tipo de operaciones en pocos minutos y cualquier hacker principiante también.
Como cifrarlo.
Tanto MacOS, Linux y Windows tienen sus propias utilidades de cifrado de disco. Solo debes activarlas y tus datos estarán a prueba de cualquiera que quiera leerlos. Ni las agencias gubernamentales son capaces de romper un cifrado estándar de 256 bits
4.- Contrata una ciberpóliza. La seguridad 100% no existe pero sí podemos cubrir ese pequeño margen de incertidumbre mediante una póliza de seguro. Así, si el peor escenario se presenta, al menos tendremos una enorme ayuda para volver poner la empresa en marcha y minimizar los daños.
Como contratar:
Actualmente casi todas las empresas de seguros ofrecen ciber pólizas pues este tipo de producto está creciendo un 300% cada año. Nosotros te recomendamos AXA donde además, si lo haces a través de nosotros, conseguirás un 10% de descuento
by Ricky Fuster https://www.linkedin.com/in/rickyfuster/
Irongate CISO https://www.irongate.es/