Lecciones de seguridad informática que todos deben aprender del hackeo de Mat Honan

Send to Kindle

En días pasados se publicó bastante respecto al hackeo sufrido por el escritor de Wired Mat Honan (les recomiendo lo lean completito ),  a quien en espacio de una hora le robaron y borraron su cuenta de GMail, tomaron su cuenta de Twitter para publicar tweets racistas, tomaron control de su cuenta de AppleID que usaron entonces para borrar su iPhone, iPad y MacBook, en ésta última perdiendo fotos de su hija que había tomado por espacio de un año. Si lo quieres ver así, le borraron su vida digital casi por completo. Si bien el hackeo fue posible gracias a agujeros en la algunos servicios de atención al cliente de Amazon y Apple; Amazon hasta antes de este escándalo mostraba cierta información que a la vez servía para que Apple permitiera darle control de una cuenta (un AppleID) a cualquiera que hable usando las mieles de la ingeniería social. Ambos estuvieron pésimos, Amazon y Apple, y hasta donde sé ambos ya han ha cambiado sus políticas a raíz de este problema.

Pero retomando la situación, si bien Amazon y Apple estuvieron mal, Mat Honan estuvo peor. Todo esto le pasó porque, a pesar de ser un escritor relacionado con tecnologías y que sabe como moverse en éstas, simple y sencillamente hizo caso omiso de algunos principios básicos y sencillos de seguridad informática. Estas son las lecciones que todos deben aprender para que no les pase lo que a Mat Honan:

• Crea y ejecuta un esquema de respaldos: lo que perdió Mat Honan que fue lo que mas le dolió fueron las fotos de su hija; si tuviera un respaldo, esto no hubiera pasado de un susto. Los respaldos son un verdadero dolor de trasero, todos los que manejamos una computadora lo sabemos, pero hoy por hoy, son una de las formas más efectivas de sobrevivir a un hackeo o una falla de hardware. Crea un calendario para tus respaldos, escoje una buena utilería que te permita programarlos, y cuando toque hacerlos, espera hasta que terminen, por tedioso que pueda ser el proceso. Y para quedar claros, me refiero a un respaldo local.
• Siempre usa passwords seguros: una simple búsqueda en Google te llevará a herramientas o guías que te permitan crear paswords seguros para que uses en las cuentas de los diversos sitios; puntos extra si usas una cuenta distinta para cada servicio, así le complicarás las cosas a quien quiera hackearte.
• Activa la autenticación de dos factores: en el caso de Honan, sus cuentas estaban encadenadas: Amazon llevó a Apple, Apple llevó a Google, Google llevó a Twitter. Pero, y este es un gran pero, Google tiene soporte de autenticación de dos factores; si Honan la hubiera tenido activada, ahí se hubiera detenido el ataque. La autenticación de dos factores consiste en presentar dos o más factores de autenticación que son algo que el usuario sabe, algo que el usuario tiene, y en los casos de hasta un tercer factor algo que el usuario es (en referencia a una característica biométrica ). En el caso de GMail, el soporte de autenticación de dos factores funciona como el token que te dan los bancos; para entrar en el servicio necesitas un código que se renueva con el tiempo. Ojo: activar esta autenticación conlleva cambios significativos en tu forma de operar servicios de Google, tu mismo modus operandi diario, y hasta herramientas de terceros que usen servicios de Google. FaceBook igual tiene soporte para esto, aunque un poco diferente. Si, de todas las medidas esta es la que es más un dolor en el trasero, pero su uso se paga por si solo.

• Usa varios AppleID: de acuerdo con varios expertos de seguridad, no es buena idea usar un solo AppleID para todo servicio que ofrezca la compañía de la manzana; de esta forma, si hackean iTunes tu iCloud queda fuera del alcance de los hackers, y así con otros servicios.
• Crea un email para recuperar tu password: el chiste aquí es crear una cuenta en un servicio web, y que el nombre de usuario que escojas no tenga nada que ver contigo, es decir, que no lo puedan relacionar con algo de información tuya, de modo que no tengan acceso a el. Evita por sobre todo los correos de Apple .me y .mac, pues son muy obvios.
• Si tienes un sitio, anonimiza tu registro: en el hack de Honan, un simple WHOIS reveló información usada durante el ataque, su dirección. Si está en tus posibilidades, anonimiza tu información de registro.
• Cuidado con la nube: lo dijo Woz hace poco, la nube va a causar problemas. Sorpresa, este es uno de ellos; en el caso de iCloud, algo particularmente desastroso fue la característica de borrado remoto de iCloud.com, a la cual tuvieron acceso los hackers, y le borraron todos sus igadgets a Mat Honan. No todas las nubes son iguales, pero podrían tener problemas similares. Y seamos sinceros, por el momento están en pañales.
• Audita tus cuentas: lleva un control de las cuentas que tienes, desde cuando no cambias claves en ellas y que tipo de datos tienes en las mismas; no pases por alto la información que puedas tener almacenada en tus cuentas, te podrías llevar un susto fuerte si te olvidas de ellas.

Si, es trabajo y sí, es un dolor de cabeza, pero la red no es segura. Y hay que ver porqué le pasó todo esto a Mat Honan: porque a un muchacho tarado de 19 años que se dice hacker le gustó su nick de Twitter, y quería tenerlo. ¿Todo lo que Honan perdió? daños colaterales atribuidos a otros idiotas desadaptados que participaron en el hackeo hicieron (según el). Es el equivalente digital a que te acuchillen por robarte $10 pesos.

La red no es segura, así son las cosas, pero es responsabilidad de cada uno de protegerse lo mejor que puedan. Y como decían en los Expedientes Secretos X, “trust no one.“

Send to Kindle