El reciente robo de datos en la red de Sony acaparó todos los titulares, pero estos ataques no son raros. Aquí le indicamos lo que tiene que hacer para protegerse usted y para proteger sus datos.
Sólo en lo que va de 2011, diez millones de usuarios han tenido su información personal expuesta o en algún tipo de peligro a causa de violaciones de datos registradas en Epsilon, RSA Security, el estado de Texas, Ashampoo y en la red Sony PlayStation, entre otras.
En el ataque perpetrado en la Oficina del Auditor de Texas, un error de configuración en una base de datos accesible por el público dejó detalles confidenciales expuestos a la Web. En el caso de RSA Security, un atacante ganó acceso a la red interna por medio de un simple método de phishing que se aprovechó de un error de cero días en Adobe Flash.
El impacto del robo de datos depende de qué información queda comprometida y de lo que los atacantes hacen con los datos que roban. Si la violación se limita a exponer las direcciones de correo electrónico, como en el caso del robo en Epsilon, la única preocupación es la posibilidad de que se produzcan ataques dirigidos a objetivos específicos.
Si el fallo de seguridad expone detalles personales como nombres, direcciones, fechas de nacimiento, números de seguro social y número de licencia de conducir, el robo de identidad se torna un problema serio.
El peor caso es el que supone la pérdida de números reales de cuentas de banco o tarjetas de crédito. El atacante puede usar la información de las tarjetas de crédito para comprar cosas o —con información adicional como la contraseña de su cuenta— limpiar su cuenta bancaria.
Proteja su información personal
Para salvaguardar su información, usted debe empezar por suponer que le van a robar sus datos en algún momento. Esta manera de pensar le obligará a tener cuidado al confiar en un negocio.
Muchos sitios de la Web requieren que usted proporcione alguna información para poder usarlos. Algunos sólo permiten a los usuarios registrados acceder a cierto contenido; otros requieren que usted se inscriba y entre para poder contribuir o hacer comentarios. Pero eso no significa que usted tenga que proporcionar la información correcta.
Primero, no comparta su dirección principal de correo electrónico de manera irreflexiva. En vez de ello, establezca una dirección ficticia de correo en la Web para el propósito expreso de inscribirse en sitios de la Internet.
Segundo, no dé información verdadera si puede evitarlo. Una opción es inventar una persona ficticia para inscribirse en los sitios de la Internet. Usted puede usar su nombre verdadero, o algo parecido, pero escriba un número de teléfono y dirección falsos, y use la dirección de correo de la Web simulada que mencioné anteriormente.
Una gran equivocación que muchas personas cometen es usar el mismo nombre de usuario y contraseña en varios sitios. Por supuesto, acordarse de 50 nombres y contraseñas diferentes no es nada fácil, así que le recomiendo usar un nombre y contraseña diferentes en un sitio de confianza o que otorgue acceso a información confidencial como la información de su cuenta bancaria o tarjetas de crédito.
Para sitios menos importantes donde usted se inscribe una vez y que nunca más visita, es perfectamente aceptable usar un solo nombre y contraseña en todos ellos. De esa manera, puede seguir la práctica de seguridad recomendada a la vez que minimiza el número de combinaciones de nombre y contraseña que necesita recordar. Vea también “Construya mejores contraseñas y mantenga la cordura”, en esta edición.
Resista los ataques de phishing
Si usted recibe un correo electrónico con errores ortográficos o gramaticales, bórrelo. Las compañías legítimas a veces cometen errores de ortografía, pero un mensaje con mala redacción y ortografía es casi siempre una señal clara de un ataque de phishing.
Por otra parte, un correo electrónico con intenciones de phishing, pero bien producido, puede lucir y sonar muy convincente. Aun así, evitar los ataques de phishing no es difícil. La regla crucial es ésta: nunca dé por correo electrónico su nombre de usuario, contraseña, número de cuenta, ni otra información confidencial. Ninguna compañía legítima debe pedirle que lo haga; y si alguna lo hace, no merece su confianza.
Otra regla importante: nunca pulse un vínculo que venga incluido en un mensaje de correo electrónico. Los ataques de phishing frecuentemente contienen vínculos que conducen a sitios de la Web falsificados, pero aparentemente legítimos. El mensaje pudiera pedirle que corrija su información personal o que cree una nueva contraseña, pero el objetivo es simplemente obtener su información.
Considere también no dar acceso a ningún sitio a la información de su cuenta bancaria. Consiga una tarjeta de crédito desechable, o una tarjeta de crédito que tenga un límite de US$250 y que usted utilizará específicamente para compras en la Internet.
Algunos bancos también ofrecen tarjetas de crédito virtuales que lucen como números de tarjeta falsos y sirven para usarlos una sola vez; usted puede emplearlos para hacer compras en línea, pero no tienen valor real si son interceptados o robados.
La detección temprana es la clave de la supervivencia. Examine los estados de cuenta del banco y de sus tarjetas de crédito para identificar actividades sospechosas y resolverlas pronto. Si lo hace, podrá minimizar el daño.
-Tony Bradley