Saltear al contenido principal

Robustecer la seguridad de tus cuentas es crucial para protegerlas de hackeos, suplantación y otras formas de robo de identidad. También te protege de una posible modificación, remoción o robo de información. Te sorprenderá lo mucho que puede mantenerte a salvo seguir buenas prácticas de acceso y tener contraseñas seguras.

  • ¿Cómo recordar tus contraseñas? Utiliza un administrador de contraseñas seguro. Crear y recordar una contraseña única, para cada cuenta puede resultar una tarea imposible. Los administradores ayudan a generar contraseñas aleatorias de alta seguridad y las mantienen almacenadas de forma segura. Algunos cuentan con aplicaciones móviles y con extensiones de navegador web que agilizan todo el proceso. Es razonable que tengas reservas sobre el almacenamiento de todas tus contraseñas en un solo lugar, pero los mejores generadores cifran tus contraseñas de modo que, incluso si la seguridad de la empresa a la que pertenecen es vulnerada, tus contraseñas no quedarán expuestas. Prueba LastPass, que tiene versión gratuita para descargar en teléfonos móviles y extensión de navegador; o 1Password, que tiene costo pero ofrece cuentas gratuitas para periodistas. Este blog de Infoactivismo y este tutorial de Xataka pueden ayudarte a decidir.
  • Usa la verificación de dos pasos. Los correos electrónicos, mensajerías, las redes sociales y otros sitios con inicio de sesión generalmente ofrecen la opción de activar la verificación de dos pasos, una capa de seguridad extra que requiere la obtención de un código o confirmación del acceso desde un dispositivo secundario antes de comenzar la sesión en tu cuenta. Si alguien intenta entrar a tu cuenta, no podrá completar la autenticación si no tiene este segundo elemento. La verificación de dos pasos puede realizarse de tres maneras: 1) a través de un SMS, que es la menos segura ya que podría ser vulnerada en caso de un secuestro de SIM (SIM hijacking)

    o puedes perder o te pueden robar el celular – ver abajo; 2) mediante una aplicación de autenticación como Google Authenticator o Twilio, antes Authy; 3) y a través de una llave física de seguridad, que podría ser de principal utilidad para periodistas o escritores que, por su trabajo, se enfrentan al crimen organizado o al Estado.

  • Cuidado con el secuestro de SIM (SIM hijacking). Tu número de teléfono puede servir para verificar tus cuentas e identidad. Esto lo hace vulnerable al robo, situación que se conoce como “secuestro de SIM” o “SIM hijacking”. Para robar tu número de teléfono, una persona podría llamar a tu proveedor de telefonía y hacerse pasar por ti, pedir una portabilidad en otra compañía o incluso conseguirlo a través de una persona que trabaje dentro de la misma compañía telefónica. Si tu número de teléfono está vinculado a tus cuentas como mecanismo para la verificación de dos pasos, la persona atacante podría entonces acceder a ellas y restablecer todas tus contraseñas. Puedes evitar este riesgo empleando una aplicación que genere códigos para realizar la verificación de dos pasos, en lugar de tu número de teléfono. Parece complejo, pero vale la pena tomarse el tiempo para configurarlo. Si has perdido el control de tu número de teléfono, llama a tu banco inmediatamente. Elimina tu número telefónico de todas tus cuentas como mecanismo de verificación.
  • Da respuestas no predecibles a las preguntas de seguridad. Muchos sitios requieren que generes una pregunta de seguridad para recuperar una contraseña. Las preguntas tienden a ser simples y personales, por ejemplo: “¿cuál es el nombre de la escuela donde estudiaste?”, lo que significa que tus respuestas podrían ser fáciles de adivinar para un atacante que haga una búsqueda en Google o en redes sociales, como Facebook. Intenta formular respuestas no previsibles, que contengan datos difíciles de encontrar o suponer. (EFF recomienda usar una respuesta generada aleatoriamente para estas preguntas de seguridad. Si te preocupa olvidar tus respuestas, puedes guardarlas en el administrador de contraseñas).
  • ¿Sabes si tus cuentas se han visto comprometidas en ataques de vulneración de datos? Cuando abres una cuenta en una plataforma, no sólo creas un nombre de usuario y una contraseña, también ingresas todo tipo de información privada. Si esa empresa es objeto de una vulneración de datos, tu contraseña puede verse comprometida y tu información filtrada en la web. Visita monitor.firefox.com o haveibeenpwned.com [en inglés] e ingresa las direcciones de los correos electrónicos que usas para verificar si tus datos se han visto comprometidos. Si es así, cambia inmediatamente las contraseñas y no las vuelvas a utilizar en otro lugar.
  • ¡Atención con el spam y el phishing! El robo de información confidencial, conocido como phishing, se disfraza de muchas formas. Por ejemplo: un atacante podría escribirte un mensaje, decir que trabaja en el soporte de una plataforma –Facebook o Instagram– y pedirte el código de verificación de dos pasos. ¿Qué haces tú? No se lo das. Para protegerte contra el phishing siempre confirma primero con la persona que supuestamente te envió la información, el documento o una liga. Evita trabajar en tu teléfono, ya que las pantallas tan pequeñas dificultan la práctica de verificar el contenido. Usa la función de vista preliminar de los correos electrónicos en vez de descargarlos en tu computadora. En México, personas defensoras y periodistas han sido vigiladas por el gobierno con el software Pegasus, que logra instalar en teléfonos celulares a través de enlaces enviados por SMS. Ten cuidado especial con mensajes en los que se refieran a ti de forma coloquial, amistosa, o en los que mencionen situaciones privadas o familiares. Esos mensajes están diseñados para que no desconfíes de su veracidad, te enganches de manera inconsciente y des clic a las ligas que contienen. No lo hagas si no has comprobado previamente la fuente real del mensaje. En esta guía de SocialTIC hallarás más datos sobre el phishing.
  • Utiliza servicios de correo cifrado. A menudo el trabajo implica compartir información sensible, susceptible de ser interceptada al usar servicios comerciales de correo electrónico. Para no exponerte a esa posibilidad, recurre a servicios de correo cifrado de extremo a extremo, que confieren un alto grado de seguridad a tus comunicaciones. Existen varios servicios gratuitos, y casi todos ellos proporcionan también servicios premium con costo. Entre los más recomendables están TutaNota, ProtonMail, Mailfence o Countermail.
  • Reserva tu información de contacto en los directorios en línea. Pide en tu lugar de trabajo, universidad o afiliaciones voluntarias que no publiquen tu información de contacto en sus directorios en línea. Si deseas sugerencias para hablar sobre agresiones en línea a nivel profesional, consulta las recomendaciones contenidas en este manual respecto a cómo hablar en distintos ámbitos acerca de la situación de acoso que estás enfrentando.

En caso de que tus cuentas ya hayan sido hackeadas, además de las recomendaciones mencionadas anteriormente asegúrate de documentar los rastros que hayan quedado del incidente y eliminar el acceso de dispositivos que no reconozcas.

Reporta la suplantación de identidad

Aquí encontrarás los enlaces de apoyo ante un hackeo de cuentas en Facebook, Twitter, Instagram y Gmail. Ante la suplantación de identidad, el Kit de primeros auxilios digitales recomienda que alertes a tus contactos sobre la suplantación a través de medios que no estén comprometidos. Es importante asegurar el acceso inmediato a todas tus cuentas siguiendo los cuidados mencionados. Ve aquí también enlaces rápidos en caso de suplantación de identidad en Facebook, Twitter e Instagram.

Las recomendaciones anteriores se desarrollaron en consulta con personas expertas en seguridad digital de PEN America y Freedom of the Press Foundation.Ve este video de Artículo 19 para aprender cómo protegerte del phishing.