Higiene Digital: Definición y Recomendaciones Básicas

Este artículo explica cómo funcionan los métodos populares de ciberataques y comparte recomendaciones para proteger tus datos.

Según el FBI Internet Crime Report, en 2024 se reportaron 859,532 quejas de ciberdelitos en Estados Unidos, con pérdidas estimadas en $16.6 mil millones. Una cifra similar se registró en España en 2022.

¿No quieres contribuir a esta estadística? Entonces, recordemos por qué es importante respetar las normas de higiene digital y encontremos ese “equilibrio” entre comodidad y la famosa “gorra de papel de aluminio”.

Descargo de responsabilidad: En el artículo hay nombres de empresas ficticios, cualquier coincidencia con empresas reales es pura casualidad.

¿Qué es la higiene digital?

La higiene digital son los conocimientos y las reglas para consumir información en el mundo actual de la televisión e internet, que permiten preservar la salud mental, las finanzas y la propia identidad.

Sí, esta definición está copiada de Google, pero es correcta. Sin embargo, yo destacaría por separado las reglas básicas de anonimato en la red. Como cualquier seguridad, la higiene digital está relacionada con probabilidades. Esto significa que nunca se puede estar seguro de la seguridad de tus datos. Aquí surge una pregunta…

¿Están bien protegidos nuestros datos?

A menudo, las personas transmiten sus datos sin sospechar que están hablando con delincuentes. Más a menudo, cierran los ojos ante el incumplimiento de las recomendaciones básicas sobre la longitud de la contraseña y la autenticación de dos factores. Como consecuencia, la información confidencial ya no lo es, y en tu pasaporte ya hay una decena de créditos.

Pero la seguridad no siempre depende solo de la persona: en el mundo ocurren fugas de bases de datos, seguimientos mediante aplicaciones y sitios web. Esas mismas “fugas” son un fenómeno bastante común que afecta incluso a las grandes corporaciones. Se accede públicamente a los datos de las cuentas, números de móvil y otra información. Puedes leer sobre estos incidentes en el enlace.

Alguien podría objetar: “¿Y qué? ¿A quién le importa mi dirección o mi nombre de usuario en un sitio web?”. Pero supongamos que se produce una fuga de un servicio de entrega. A primera vista, no ha pasado nada malo, porque solo se han filtrado el nombre de usuario, el número de teléfono, la cantidad del pedido y la dirección de entrega.

Pero basándose en esta información, se puede calcular tu nivel de ingresos, con quién te relacionas (por ejemplo, si el pedido no era para ti) y otros datos. Normalmente, estos datos son utilizados por diversas agencias publicitarias que llaman a clientes potenciales. Por cierto, gracias a esta fuga pueden salir a la luz infidelidades y mucho más.

Tras la publicación de una de estas filtraciones en la red, también aparecieron bases de datos de la policía de tráfico, un servicio de internet para publicar anuncios, etc. Sí, la información puede estar desactualizada, pero con el mismo teléfono se puede determinar tu nombre completo, qué coche conduces, dónde vives y qué prefieres para cenar.

Por desgracia, tras la filtración, los datos nunca vuelven a ser confidenciales. Puedes pedir a autoridades legales que bloquee el sitio web, limitar el acceso a él, pero todas las bases de datos ya se venderán en la darknet a bajo precio. Un registro (usuario) en la base de datos cuesta alrededor de 10 centavos; todo depende del volumen y la actualidad de la información.

Pronósticos para el futuro

En el último año, según el Data Breach Investigations Report de la empresa Verizon, el número de filtraciones en el mundo ha aumentado 31% respecto al año anterior; una estadística desalentadora. Es posible que esta dinámica se deba a la situación política, pero todo apunta a que, en cualquier momento, la información puede hacerse pública.

Para que la inclusión en estas bases de datos sea menos crítica, te recomiendo que no indiques tu dirección exacta (por ejemplo, hasta la entrada), que tengas un número de teléfono aparte para diferentes servicios y que no se lo des a nadie (así podrás evitar las llamadas molestas). Y también, regístrate con un nombre diferente, siempre que sea posible. También utiliza nuestro sistema de correo electrónico temporal.

También puedes llevar hojas de cálculo; te ayudarán a saber de qué servicio se han filtrado tus datos.

Hemos examinado brevemente los principales problemas de seguridad de la información e higiene digital desde el punto de vista de un usuario común. Ahora profundicemos en el tema y analicemos esto con más detalle.

Aplicaciones móviles

La información personal sobre una persona no solo se puede obtener a través de las bases de datos de internet oculto. Hay diferentes aplicaciones que recopilan mucha más información sobre nosotros. Para ello, solo necesitan algunos permisos.

Por ejemplo, al instalar la aplicación, puede solicitar acceso a los contactos para, en el futuro, promocionarse a tus amigos. La mayoría de las aplicaciones “vigilan” a los usuarios y recopilan información sobre sus intereses. Esto es necesario para proporcionar un contenido de mayor calidad. Pero no siempre: los datos ayudan a difundir publicidad dirigida de forma específica. Parece que no hay nada malo en ello, pero esta información también se filtra.

Por otro lado, algunas aplicaciones maliciosas pueden extraer fotos personales, notas y otra información que puede utilizarse en tu contra, por ejemplo, para chantajearte.

Por ejemplo, si decides ver con la aplicación Getcontact cómo te tienen registrados tus amigos en sus teléfonos, esta mostrará instantáneamente los datos de tus contactos en su propia base de datos, que puede caer en manos de cualquiera.

A veces, los desarrolladores apuestan a que nadie lee la política de privacidad al instalar la aplicación. Aunque en ella se puede saber a qué datos se concede acceso. Pueden ser el nombre, los apellidos, el correo electrónico, el número de teléfono, la lista de contactos y otra información. Pero hay buenas noticias: puedes eliminar tu información de estas aplicaciones.

Recomendaciones

No hay que subestimar la información que recopilan las aplicaciones. Además de las simples listas de compras, pueden ser, por ejemplo, datos de pago. Asegúrate de leer la política de tratamiento de datos, no concedas permisos que no sean necesarios para el funcionamiento de la aplicación e instala solo software probado de fuentes de confianza.

A continuación, se indican los métodos para comprobar a qué tiene acceso una aplicación.

• Para iOS: ve a los ajustes (Configuración), a la sección Privacidad y seguridad.

Al hacer clic en contactos, fotos y otras secciones, puedes ver qué aplicaciones tienen acceso a ellas y desactivar los permisos innecesarios. En la sección Seguimiento, puedes ver qué aplicaciones pueden rastrear tus acciones en sitios web y en otras aplicaciones. En los servicios de geolocalización, puedes comprobar qué aplicaciones pueden rastrear tus movimientos y tu ubicación.

Las aplicaciones de tipo “rápido” son aplicaciones del sistema Apple como la brújula. Puedes obtener más información sobre los diferentes tipos de servicios en el enlace.

• Para Android: abre los ajustes, la sección Seguridad y privacidad, Privacidad y ve al Administrador de permisos.

Uno de los recopiladores de información más populares son las VPN públicas, y no solo las gratuitas. Normalmente recopilan información sobre las visitas a sitios web, preferencias, etc. Todos estos datos también pueden filtrarse, por lo que la opción más segura es utilizar tu propio servidor VPN correctamente configurado.

Ingeniería social

La ingeniería social, social engineering, es un conjunto de métodos de influencia sobre las personas mediante los cuales se puede “sacar” información confidencial, convencer a alguien para que gaste dinero y hacer casi cualquier cosa.

Los métodos de ingeniería social son variados. Uno de ellos, con el que se ha encontrado (o se encontrará) todo el mundo, es el siguiente: recibes un mensaje de un conocido o desconocido pidiéndote que inicies sesión en un sitio web externo como vlc.com. El diseño del sitio web es idéntico al original, pero el enlace tiene un aspecto extraño, aunque se parece a vk.com.

Supongamos que el mensaje llega temprano por la mañana, por lo que los detalles sospechosos no te preocupan. La página se carga completamente, introduces tu contraseña y nombre de usuario, la envías y listo, los datos están comprometidos. El delincuente ha obtenido acceso a la cuenta y puede hacer con ella lo que quiera.

Por ejemplo, puede organizar el envío de mensajes a todos los contactos pidiendo que transfieran dinero a una tarjeta o recopilar información comprometedora sobre ti para futuros chantajes. Y todo empezó con un simple mensaje, llamado phishing.

Según Symantec, por cada 2.000 correos electrónicos hay uno de phishing. En 2021, Google declaró que diariamente sus sistemas registran 25.000 millones de páginas de spam. Los ataques de phishing no son infrecuentes.

El caso de Telegram tuvo gran repercusión, cuando muchos usuarios recibieron mensajes de delincuentes que les ofrecían una suscripción Premium con descuento. Sin embargo, se les pedía que introdujeran el código promocional no en la aplicación, sino en un “sitio web oficial”, cuya dirección difería en un par de caracteres del sitio real.

Además, el sitio web falso pedía introducir los datos de la cuenta para “autorizar”. Después de introducir los datos, los delincuentes obtenían acceso a la cuenta de la víctima y enviaban correos electrónicos similares ofreciendo una suscripción Premium.

También puedes recibir ofertas para participar en algún evento importante para ti o para comprar algo con un gran descuento; hay muchos escenarios, la imaginación no te alcanzará.

También puedes recibir estas ofertas en tu correo electrónico del trabajo. Los delincuentes suelen hacerse pasar por empleados de relaciones externas y hablan de ofertas ventajosas u ofertas especiales. Para aprovecharlas, hay que hacer clic en un enlace, rellenar un formulario o iniciar sesión en el sitio web con una cuenta de trabajo. El resultado es el mismo: los datos están comprometidos.

El phishing es solo uno de los métodos de ingeniería social. Puede ser una conversación agradable en un bar o en una conferencia, en la que cuentas secretos corporativos o de tu vida personal. Cabe destacar que los “ingenieros sociales” suelen prepararse de antemano para las conversaciones, buscan información sobre ti para causar una buena primera impresión. Las redes sociales les ayudan en esto.

Recomendaciones

Por desgracia, no existen métodos concretos de protección contra la ingeniería social. Solo puedes entrenar tu propia atención y puntualidad para mantener la información confidencial frente a tu interlocutor.

Lectura recomendada: Análisis del Libro: Ingeniería Social. El Arte del Hacking Personal

Pero no todo el phishing se puede “combatir” con la atención. A veces, los delincuentes envían correos electrónicos en los que afirman que te has suscrito a una lista de correo, y en el botón “darse de baja” colocan su enlace. Naturalmente, la víctima hace clic en él y llega a un sitio web a través del cual se puede descargar un malware. Y este es solo un ejemplo. Hay otras formas, sobre las que puedes leer en el enlace. Por lo tanto, no hay que olvidar la protección antivirus.

En general, escucha tu intuición. Si algo te parece extraño, tómate un minuto para pensar, no tengas miedo de rechazar preguntas dudosas.

Y recuerda: si hay una oferta extremadamente ventajosa, pero tienes que decidir ahora mismo y no hay tiempo para pensarlo, es que quieren engañarte.

Publicación de datos en la red

Para los ataques de ingeniería social, los delincuentes obtienen información sobre ti de fuentes abiertas. A menudo, nosotros mismos publicamos mucha información sobre nosotros, por ejemplo, sobre nuestro lugar de trabajo, estudios, aficiones, libros favoritos, películas y demás. Desde el punto de vista de la ley, estos datos son de acceso público, ya que tú mismo los publicas.

De aquí se deduce que el delincuente no tendrá ningún problema por utilizar y difundir datos personales de acceso público mientras estén en el sitio web de origen.

Stalking y scraping: ¿cómo están relacionados?

Creo que todo el mundo ha entrado alguna vez en la página de una persona en las redes sociales para saber más sobre ella. Probablemente no tenías malas intenciones, pero a veces ocurre lo contrario, cuando un simple usuario es vigilado por los llamados “stalkers“.

La mayoría de las veces, los “stalkers” son exparejas, amigos envidiosos, compañeros de trabajo o conocidos. Este acoso virtual no solo puede asustar a la víctima, sino que también puede servir de base para realizar actos delictivos, como el ciberacoso, el insulto intencionado al usuario.

Para ello, el delincuente no tiene que perder el tiempo y estudiar manualmente las páginas, los grupos y los amigos de la víctima. La recopilación de datos se puede automatizar, se puede organizar el web scraping. Esto significa que se puede escribir o instalar un software especial que comprobará automáticamente las páginas necesarias, extraerá los datos y registrará los cambios.

Recomendaciones

Es imposible protegerse completamente del stalking. Pero al cerrar la página de una red social, se puede impedir el acceso a los programas de scraping. También te recomiendo que simplemente no publiques mucha información sobre ti en las redes sociales; es mejor limitarse al nombre completo. Y trata de publicar menos publicaciones que revelen tu ubicación actual, nuevos conocidos y otra información personal.

Cómo proteger tus datos

Es importante mantener un equilibrio entre seguridad y comodidad. Para protegerte completamente, tienes que ponerte una gorra de papel de aluminio, renunciar a todas las comodidades de la civilización e irte a vivir al bosque. Pero incluso entonces, existe la posibilidad de que tus datos personales se publiquen.

Por eso, he recopilado una pequeña lista de comprobación y la he dividido en tres niveles:

• Básico: son las acciones que debe realizar todo el mundo.
• Medio: para usuarios relativamente avanzados que comprenden la importancia de la seguridad.
• Avanzado: para personas con un toque de paranoia.

Nivel básico

1. No utilices la misma contraseña en diferentes sitios web.
2. Utiliza solo contraseñas complejas, de al menos 15 caracteres con mayúsculas y caracteres especiales.

Las contraseñas no deben contener palabras o fechas importantes para ti. De esta forma, será más difícil para el delincuente encontrar la combinación, y tardará más tiempo. Lo más sencillo es utilizar frases de contraseña como Cyber$Good_Job-7821!.. Puedes comprobar la seguridad de la contraseña en security.org (no introduzcas allí la contraseña final, puedes comprobar la complejidad del patrón que quieres aplicar).

Lee también: Cómo Elegir una Contraseña Segura y Difícil de Adivinar: Consejos de Expertos

3. Cambia las contraseñas de los recursos importantes al menos cada dos meses, y de los que no lo son, al menos una vez al año. Esto te permitirá evitar que te roben las contraseñas. Y si ya se han publicado en la red, esto te permitirá interrumpir el acceso de los estafadores a tus cuentas.
4. Configura la autenticación de dos factores para acceder a recursos y sitios web importantes.
5. Limita el acceso a tus páginas en las redes sociales o deja solo la información que no sea importante para ti. Te recomiendo que elimines toda la información de las redes sociales.
6. Abre una tarjeta aparte para pagos online y no guardes dinero en ella. Establece límites para los pagos y las transferencias, y fíjate bien en los sitios web en los que introduces tus datos de pago.
7. Si recibes una llamada, por ejemplo, del banco, pidiéndote que hagas algo urgente, no te apresures. Mejor llama al número conocido para aclarar la información.
8. Cambia la contraseña de tu router, que viene configurada por defecto. De lo contrario, cualquier usuario conectado a tu red Wi-Fi podrá rastrear el tráfico. Por lo tanto, utiliza WPA2 e inventa una contraseña segura.
9. Actualiza tu dispositivo: a menudo, los nuevos parches bloquean las vulnerabilidades.
10. No hables de cosas íntimas ni intercambies fotos explícitas en las conversaciones. Y menos aún enviar cualquier información de pago, por ejemplo, números y CVV de tarjetas.

Antes de enviar o publicar información en acceso público, es importante pensar en los riesgos que esta acción puede conllevar. Porque todo lo que una vez ha llegado a internet puede permanecer allí para siempre. Y sí, los chats privados de Telegram o la eliminación de mensajes no te protegerán, ya que los datos pueden permanecer en las bases de datos del servicio.

11. Intenta no utilizar Wi-Fi y VPN gratuitos; pueden recopilar y ver todo el tráfico que envías. En algunos casos, incluso el cifrado.

Nivel medio

1. Comprueba la lista de conexiones a tus redes sociales, correo electrónico y aplicaciones del dispositivo. Elimina las que no utilices. Te recomiendo que hagas estas comprobaciones al menos una vez al mes.
2. No guardes las contraseñas en el navegador.
3. Piensa cómo vas a guardar las contraseñas. Instala un gestor de contraseñas, por ejemplo, BitWarden.
4. Comprueba si estás en las bases de datos con fugas de datos y suscríbete a las notificaciones sobre la aparición en estas bases de datos. Servicios gratuitos: haveibeenpwned.com y monitor.firefox.com.
5. No dejes datos en sitios web que no estén protegidos por el protocolo HTTPS.
6. Limpia periódicamente las cookies, los datos de sesión y las cachés.
7. Utiliza direcciones de correo electrónico pseudónimas para proteger tu dirección de correo electrónico real del spam y el phishing. Puedes hacerlo a través de Anonaddy o SimpleLogin.
8. Comprueba los permisos que solicitan las aplicaciones y lee los acuerdos de usuario para comprender qué datos pueden recopilar, utilizar y transmitir. Esto ayudará a reducir el número de filtraciones de tus datos.
9. Para evitar la molesta publicidad dirigida, utiliza el modo incógnito y una VPN (solo servicios probados, o mejor aún, tu propia VPN).
10. Utiliza diferentes correos electrónicos para la correspondencia, el trabajo, el registro en recursos de entretenimiento, el registro en portales estatales y en los bancos. Este método te ayudará a minimizar la filtración y el posterior pirateo de tu correo electrónico a través de sitios web poco protegidos, y también es simplemente cómodo.

Nivel avanzado

1. Al pedir un envío a domicilio, no indiques el número de la vivienda. Es mejor salir y recibir al mensajero personalmente. De esta forma, en caso de filtración de datos, nadie sabrá con exactitud tu dirección de residencia.
2. Prueba a buscar en Google tu número de teléfono, nombre completo y fotos. Si no te convence la información que hay sobre ti en internet, puedes ponerte en contacto con el propietario del recurso y pedirle que la elimine.
3. Para registrarte en recursos que no te importen, utiliza buzones de correo electrónico virtuales y tarjetas SIM.
4. Antes de publicar o enviar fotos, no olvides limpiar los metadatos. Pueden contener información sobre la geolocalización, el dispositivo y la hora en que se tomó la foto. En el artículo se explica bien cómo limpiar los metadatos.

Conclusión

Los delincuentes no perderán mucho tiempo buscando información sobre ti si eres un ciudadano corriente. Pero si eres una persona mediática o ocupas un puesto elevado en una empresa, deberías pensar en tu seguridad digital. ¡Spoiler: este artículo no te será suficiente! ¡Cuida tu ropa desde pequeño, y tus datos desde joven!