Hay muchos consejos de seguridad flotando en la web. Mucho. Si bien gran parte de ella es sólida y lo ayudará a mejorar su postura de seguridad, ocasionalmente encontrará consejos que no son tan buenos. Por ejemplo, no es raro ver artículos que presentan recomendaciones obsoletas o riesgos de seguridad teóricos que se han desproporcionado. Y, en algunos casos, la información es simplemente incorrecta.

Aquí hay ocho ejemplos de malos consejos de seguridad que puede ignorar con seguridad.

1. Cambia tu contraseña regularmente

En el pasado, la mejor práctica era cambiar sus contraseñas cada pocos meses. El razonamiento era simple: en caso de que un atacante tropezara con una de sus contraseñas antiguas, ya no estaría en uso y su cuenta estaría segura.

Sin embargo, este consejo ahora se considera obsoleto y lo ha sido durante años. Este es el por qué:

• Atajos: los usuarios que cambian con frecuencia sus contraseñas tienden a usar atajos, por ejemplo, reciclando contraseñas o incorporando información personal en ellas, lo que debilita la seguridad de la cuenta.

• Practicidad: si bien los restablecimientos de contraseña frecuentes podrían haber sido factibles cuando solo tenía un puñado de cuentas de las que preocuparse, en estos días probablemente tenga cientos de cuentas de servicios en línea para administrar, cada una con su propio conjunto único de credenciales de inicio de sesión. Cambiar todas sus contraseñas periódicamente sería una pesadilla logística.

Línea de fondo

En lugar de cambiar sus contraseñas periódicamente, debe usar un buen administrador de contraseñas, preferiblemente uno que le notifique si una de sus contraseñas está involucrada en una violación, para estar al tanto de sus credenciales de inicio de sesión y proteger sus cuentas con autenticación de múltiples factores.

2. No escanee códigos QR

A medida que el uso de códigos QR ha ganado popularidad, algunos expertos en seguridad, incluido el FBI, han expresado su preocupación de que los actores de amenazas puedan usarlos para redirigir a las personas a sitios de phishing y/o descargas de malware.

Si bien los riesgos son teóricamente posibles, la realidad es que los casos del mundo real son pocos y distantes entre sí y es exponencialmente más probable que se encuentre con malware o un ataque de phishing en su bandeja de entrada de correo electrónico o SMS. El consejo no está mal, per se, simplemente está muy abajo en la lista de prioridades de seguridad para la mayoría de las personas.

Línea de fondo

El riesgo de escanear un código QR es casi nulo. Dicho esto, si va a ingresar información financiera, es mejor prevenir que curar, independientemente de si está intentando acceder a la página a través de una URL o un código QR. Solo tómate un segundo para escribir manualmente la URL en tu navegador y listo.

3. ¡Solo usa una Mac!

A los usuarios de Apple demasiado entusiastas a veces les gusta afirmar que las Mac son de alguna manera inmunes al malware. Es decir, si realmente quisiera mejorar su juego de ciberseguridad, ¡simplemente cambiaría a macOS!

La realidad es que ningún sistema operativo es perfecto cuando se trata de seguridad. Si bien el ecosistema de "jardín amurallado" de Apple puede proporcionar un nivel más alto de control de calidad del software que el entorno Windows del Salvaje Oeste, aún es posible obtener malware en una Mac, incluidos troyanos, droppers, ransomware y más.

La razón principal por la que existen menos amenazas de malware para Mac es simplemente que Windows es un objetivo más importante. Windows controla alrededor del 76 por ciento de la cuota de mercado, mientras que solo el 16 por ciento de los usuarios de computadoras de escritorio y portátiles utilizan macOS. Para los ciberdelincuentes, hay menos que ganar al perseguir a los peces más pequeños, por lo que tienden a apuntar al sistema con la huella de usuario más grande.

Línea de fondo

Sí, las Mac todavía reciben malware. No, no tiene sentido hacer la transición a un sistema operativo completamente nuevo que puede no ser mucho más seguro.

4. Cambie la configuración de su idioma para evitar el ransomware

Algunos expertos en seguridad cibernética han sugerido que cambiar la distribución del teclado y la configuración de idioma al ruso podría ser una manera fácil de proteger su sistema contra el ransomware.

¿Cómo? Bueno, las pandillas de ransomware generalmente no enfrentan ninguna repercusión de las agencias de aplicación de la ley dentro de la Comunidad de Estados Independientes, siempre que no se dirijan a organizaciones en esas regiones. Y para evitar apuntar inadvertidamente a una organización basada en CIS, muchas familias de ransomware verifican la configuración de idioma y teclado del sistema de destino antes de ejecutar la carga útil. Si se detecta un idioma CIS, como el ruso, el ransomware finaliza sin cifrar un solo archivo.

Sin embargo, hay algunos agujeros importantes en este consejo de seguridad. En primer lugar, no es suficiente simplemente instalar un teclado de idioma CIS. La mayoría de las variedades de ransomware verifican el idioma activo del sistema, no solo los idiomas instalados, lo que significa que, a menos que esté dispuesto a usar un diseño de teclado ruso, el ransomware aún se ejecutará. En segundo lugar, y más importante, el proceso de verificación de idioma es solo un pequeño paso en el proceso de verificación de objetivos de un actor de amenazas. Los operadores de ransomware utilizan varias técnicas para aprender todo lo que puedan sobre sus objetivos y pueden identificar fácilmente si una organización está ubicada legítimamente en el CIS, independientemente de su configuración de teclado e idioma.

Línea de fondo

Es muy poco probable que cambiar la configuración de idioma o usar un diseño de teclado cirílico frustre cualquier ataque de ransomware. Es mucho mejor usar ese tiempo para implementar técnicas comprobadas de mitigación de ransomware.

5. No uses estaciones de carga públicas

En los últimos años, varios expertos en seguridad cibernética, incluida la FCC, han emitido advertencias sobre el robo de jugo, un tipo de ataque mediante el cual un actor de amenazas carga malware en el puerto USB de una estación de carga pública. Debido a que el estándar USB transmite electricidad y datos, existe el riesgo de que conectar su dispositivo a un puerto USB comprometido pueda provocar el robo de datos o una infección de malware.

Pero no necesita preocuparse demasiado por el consumo de jugo. Si bien es teóricamente posible que un ciberdelincuente particularmente determinado pueda piratear una estación de carga pública, las posibilidades de encontrar este tipo de ataque y que realmente funcione son extraordinariamente escasas. De hecho, no tenemos conocimiento de ningún incidente de robo de jugo en el mundo real hasta la fecha.

Línea de fondo

Ha habido algunos ejemplos de prueba de concepto de extracción de jugo, pero los ataques en la naturaleza son extremadamente poco comunes, o incluso inexistentes. Para los actores de amenazas, son difíciles de implementar y no escalables. Es casi seguro que no necesita preocuparse por este; hay cosas más importantes en su lista de tareas pendientes de seguridad.

6. Usa una VPN para mejorar tu seguridad y privacidad

Las VPN para consumidores son útiles si desea proteger su actividad de su ISP o acceder a contenido restringido geográficamente.

Sin embargo, en términos de seguridad, los beneficios de una VPN son bastante limitados. Las VPN cifran el tráfico de su red, lo que fue algo útil en los días en que la mayor parte de Internet todavía usaba HTTP sin cifrar. Pero ahora que la gran mayoría de la web usa HTTPS (consulte el punto n. ° 8 a continuación), una VPN realmente no ofrece demasiado en cuanto a seguridad. O privacidad. Básicamente, está sustituyendo el proveedor de VPN por su ISP, por lo que, a menos que confíe más en el primero que en el segundo, realmente no está mejorando su situación.

Línea de fondo

A menos que intente acceder a contenido restringido geográficamente o descargar torrents, probablemente no necesite una VPN. La realidad es que usar uno haría poco para mejorar su seguridad o su privacidad.

7. No haga clic en enlaces sospechosos

El problema con este consejo es que las personas no hacen clic en enlaces que les parecen sospechosos; después de todo, nadie está tratando activamente de infectarse con malware o caer en un ataque de phishing. Más bien, las personas hacen clic en enlaces que no les parecen sospechosos.

En cambio, deberíamos estar hablando de pistas que pueden indicar que un enlace es malicioso. Por ejemplo, si pasa el cursor sobre una URL y descubre que la dirección de destino no coincide con el texto del enlace, es muy probable que se trate de un enlace malicioso. Del mismo modo, si el contenido que contiene el enlace está mal escrito o visualmente fuera de marca, o si se le solicita información que nunca debe divulgarse, como una contraseña o un número PIN, probablemente debería evitar hacer clic en la URL.

Línea de fondo

Es importante ser cauteloso con los clics, pero antes de que pueda comenzar a evitar los enlaces maliciosos, ¡necesitará saber cómo es realmente un enlace malicioso!

8. No uses Wi-Fi público

En los primeros días de Internet, la mayoría de los sitios web usaban HTTP sin cifrar. Eso significaba que otras personas en su red podían husmear fácilmente en el tráfico de su red, ver las páginas web a las que estaba accediendo, monitorear sus mensajes e interceptar cualquier otro dato que pudiera haber enviado.

Sin embargo, todo esto comenzó a cambiar con la implementación gradual y generalizada de HTTPS, un protocolo que asegura la comunicación entre su navegador y el servidor web. Con HTTPS, el tráfico está encriptado, lo que significa que incluso si sus datos son interceptados, no se podrán utilizar. En estos días, alrededor del 95% de las cargas de páginas web utilizan HTTPS y la mayoría de los navegadores le avisarán si visita un sitio HTTP tradicional.

Línea de fondo

Casi todos los servicios en línea que importan usan HTTPS y el riesgo real de usar Wi-Fi público es muy bajo. Y no, no necesita usar una VPN, ni siquiera en Wi-Fi público.

Conclusión

No todos los consejos de seguridad son iguales. Si bien no todas las recomendaciones de esta lista son del todo incorrectas, simplemente no son una prioridad para la gran mayoría de la población. Para la mayoría de las personas, centrarse en los conceptos básicos comprobados, como minimizar las superficies de ataque, practicar una buena administración de parches, activar la autenticación multifactor y mantener una estrategia de respaldo sólida, hará mucho más por su postura de seguridad que cualquiera de las recomendaciones mencionadas en Este artículo.