Por Bruce Schneier
A menudo me preguntan qué puede hacer el usuario medio de Internet
para mejorar su seguridad. Mi primera respuesta suele ser: "Nada, lo
tiene muy mal".
Pero eso no es cierto, y la realidad es más compleja. Lo tiene muy
mal si no hace nada para protegerse, pero hay muchas cosas que pueden
hacerse para mejorar su seguridad en Internet.
Hace dos años, publiqué una lista de consejos de seguridad para el
PC. La idea era proporcionar a los usuarios domésticos consejos
concretos que pudieran adoptar para estar más seguros. Este artículo es
una actualización de aquella lista: una docena de cosas que usted puede
hacer para mejorar su seguridad…
General:
Apague su ordenador cuando no lo esté utilizando, sobre todo si dispone de una conexión permanente a Internet.
Seguridad en portátiles:
Mantenga su portátil con usted siempre que lo saque de casa; trátelo
como si fuera su cartera o su bolso. Elimine de su portátil con
regularidad ficheros de datos innecesarios. Lo mismo es válido para
PDAs. La gente tiende a guardar más datos personales -incluyendo PINs y
contraseñas- en sus PDAs que en sus portátiles.
Copias de seguridad:
Hágalas con regularidad, ya sea a disco, cinta o CD-ROM. Hay mucho de
lo que no puede defenderse; una copia de seguridad reciente al menos le
permite recuperarse del ataque. Almacene al menos un juego de copias de
seguridad lejos del equipo (una caja de seguridad es un buen sitio) y
al menos un juego con el equipo. No olvide destruir las copias
antiguas. La mejor forma de destruir CD-Rs es meterlos en un microondas
a máxima potencia durante cinco segundos. También puede partirlos a la
mitad o cortarlos en pedazos.
Sistemas operativos:
A ser posible, no utilice Microsoft Windows. Compre un Macintosh o
utilice Linux. Si tiene que usar Windows, active las actualizaciones
automáticas para poder recibir los parches de seguridad de forma
automática. Y borre los ficheros "command.com" y "cmd.exe".
Aplicaciones:
Limite el número de aplicaciones en su ordenador. Si no lo necesita, no
lo instale. Si no va a necesitarlo más, desinstálelo. Prueba alguna de
las suites de oficina gratuitas alternativas a Microsoft Office.
Compruebe regularmente la existencia de actualizaciones para las
aplicaciones que utilice e instálelas. Mantener sus aplicaciones
parcheadas es importante, pero no pierda sueño al respecto.
Navegación:
No utilice Microsoft Internet Explorer. Punto. Limite el uso de cookies
y applets a aquellos pocos sitios que le proporcionen servicios que
necesita. Configure su navegador para que borre regularmente las
cookies. No asuma sin más que un sitio web es quien dice ser, a menos
que haya tecleado la dirección usted mismo. Asegúrese de que la barra
de direcciones muestra la dirección exacta, no algo más o menos
parecido.
Sitio web:
El cifrado SSL no proporciona ninguna certeza de que el comercio sea fiable o de que su base de datos de clientes sea segura.
Piénseselo dos veces antes de hacer gestiones con un sitio web.
Limite los datos personales y financieros que proporcione; no dé
ninguna información a no ser que vea alguna utilidad en ello. Si no
desea dar información personal, mienta. Nunca se apunte para recibir
informaciones de marketing. Si el sitio web le permite la opción de no
almacenar su información para usos posteriores, márquela. Utiliza una
tarjeta de crédito para sus compras on-line, no una tarjeta de débito.
Contraseñas:
No es posible memorizar buenas contraseñas, así que ni se moleste. Para
sitios web de alta seguridad, como bancos, cree largas contraseñas
aleatorias y apúnteselas. Guárdelas tal y como guardaría su dinero, por
ejemplo, métalas en su cartera, etc.
Nunca reutilice una contraseña para algo importante (está bien tener
una contraseña sencilla para sitios de baja seguridad, como el acceso a
los archivos de un periódico). Asuma que todos los PINs pueden ser
rotos con facilidad y planifique en consecuencia.
Nunca teclee una contraseña importante, como la de una cuenta
bancaria, en una página web no cifrada con SSL. Si su banco le permite
hacer eso, quéjese. Y cuando le digan que no hay ningún problema en
ello, no les crea: están equivocados.
Correo electrónico:
Desactive el correo HTML. No asuma automáticamente que cualquier e-mail proviene de lo que pone en su campo para el remitente.
Borre el correo basura sin leerlo. No abra mensajes con ficheros
adjuntos, a menos que sepa lo que contienen; bórrelos de inmediato. No
abra viñetas, vídeos o ficheros similares del tipo "bueno para echar
unas risas" que le envíen amigos bienintencionados; de nuevo, bórrelos
de inmediato.
Nunca haga clic en direcciones e-mail a menos que esté seguro; en su
lugar, copie y pegue el enlace en su navegador. No utilice Outlook ni
Outlook Express. Si tiene que utilizar Microsoft Office active la
protección frente a virus de macro; en Office 2000 ponga el nivel de
seguridad en "alto" y no confíe en ningún fichero que reciba, a menos
que le obliguen. Si utiliza Windows, deshabilite la opción "no mostrar
extensiones de ficheros para tipos de archivo conocidos"; permite
enmascarar troyanos como otro tipo de ficheros. Desinstale Windows
Scripting Host si puede pasar sin él. Si no puede, al menos cambie las
asociaciones de ficheros, para que los ficheros de script no sean
enviados automáticamente al Scripting Host si se hace doble clic en
ellos.
Programas antivirus y antispyware:
Utilícelos, ya sea combinados o como dos programas independientes.
Descargue e instale las actualizaciones, al menos una vez por semana y
siempre que se entere de nuevos virus por las noticias. Algunos
antivirus comprueban automáticamente si hay actualizaciones. Active esa
característica y póngala a "diariamente".
Cortafuegos:
Gaste 50 euros en un dispositivo cortafuegos con NAT; es muy probable
que funcione suficientemente bien en su configuración por defecto. En
su portátil utilice software de cortafuegos personal. Si puede, oculte
su dirección IP. No hay razón alguna para permitir conexiones entrantes
a nadie.
Cifrado:
Instale un cifrador de correo y ficheros (como PGP). Cifrar todo su
correo o todo su disco duro es muy poco realista, pero algunos mensajes
son demasiado sensibles como para ser enviados en claro. Del mismo
modo, algunos ficheros de su disco duro son demasiado sensibles como
para dejarlos sin cifrar.
—
Ninguna de las medidas que he descrito son a prueba de bombas. Si la
policía secreta está interesada en sus datos o sus comunicaciones,
ninguna medida de esta lista les detendrá. Pero todas estas
precauciones son buenas medidas preventivas y harán que su ordenador
sea un objetivo más complicado que el ordenador del vecino. E incluso
si usted sólo adopta unas cuantas medidas básicas, es muy poco probable
que tenga problemas.
No puedo evitar tener que utilizar Microsoft Windows y Office, pero
utilizo Opera para navegar por la Web y Eudora para el e-mail. Utilizo
Windows Update para obtener los parches automáticamente e instalo otros
parches cuando me entero de que existen. Mi antivirus se actualiza con
regularidad. Mantengo mi ordenador relativamente limpio y borro las
aplicaciones que no necesito. Soy diligente en cuanto a realizar copias
de seguridad de mis datos y a poner lejos de mi conexión los ficheros
de datos que ya no necesito.
Soy desconfiado hasta rozar la paranoia en cuanto a los adjuntos del
correo y a los sitios web. Borro las cookies y el spyware. Me fijo en
las URL para asegurarme de que sé dónde estoy y no me fío de correos no
solicitados. No me preocupo demasiado de las contraseñas poco seguras,
pero trato de tener buenas contraseñas para las cuentas relacionadas
con el dinero. No utilizo bancos online todavía. Mi cortafuegos está
configurado para no permitir ninguna conexión entrante. Y apago el
ordenador cuando no lo utilizo.
Esto es todo, básicamente. En realidad, no es tan difícil. La parte
más costosa es la relativa a desarrollar cierta intuición sobre el
e-mail y los sitios web. Pero sólo requiere experiencia.
Otros no están de acuerdo con estos consejos:
(C) Bruce Schneier para el original y para la traducción al español realizada por Kriptópolis.