Cuando se habla de las mejores recomendaciones de seguridad informática para los usuarios, la gente de sistemas normalmente dice cosas como “no descargues aplicaciones de sitios inseguros”, definiendo un sitio inseguro como aquellas páginas web que no tienen el candadito verde. Normalmente esto se ha convertido es una recomendación tantas veces dicha que ya podría catalogarse como falsa.
Los últimos reportes sobre malware confirman que, durante el primer cuarto del año, más del 65% del malware se instaló mediante conexiones https.
Hace no tanto, los navegadores empezaron a marcar las páginas web http como inseguras. Mostraban una alerta muy alarmante con colores fuertes, que indicaba que el sitio al que se iba a acceder no era seguro. Esto no es más que una conexión http con todo lo que eso implica.
Hecho que, de alguna manera, ayudó a los atacantes a mejorar sus estrategias de acercamiento, ya sea en mail con phishing o por otros medios.
La paradoja del huevo y la gallina
La llegada al mundo de internet de organizaciones como Let’s enrcypt, que ofrecen certificados gratuitos para quien los pida, ayudó mucho con esta tarea. Pero por favor que no se mal entienda, Let’s Encrypt ayuda a los sitios web de internet a ser más seguros, no estamos cuestionando en ningún sentido esto. Lo que estamos diciendo es que, al ser tan sencilla la adquisición de un certificado válido para cualquier sitio web, los atacantes encontraron una forma rápida, sencilla pero además gratuita de “asegurar” sus ataques, de forma tal que el usuario final no tenga una forma fácil de identificar un sitio fraudulento de uno original.
TOMA DE CONCIENCIA: el primer eslabón en la seguridad informática
La gente de sistemas tuvo que empezar a tomar más conciencia, así como las empresas de todos los tamaños, sobre la importancia de capacitar al personal en seguridad. Hoy en día, nadie concibe un mundo sin computadoras. Solamente imagine si su equipo, ese que le fue tan fiel durante los últimos años dejara de funcionar o, peor aún, fuera robado. Si usted fuera un freelancer, por ejemplo, podría perder no solamente las planillas con el último reporte para su cliente, sino también las fotos familiares que ha guardado desde siempre o sus correos electrónicos o su lista de clientes y todas sus comunicaciones.
Todos tenemos que perder: vulnerabilidades en lo personal y profesional
Este tipo de ataques como el phishing, no solo apuntan a freelancers. También hay, y tal vez sea más común, ataques de este tipo a empresas. En esos casos, la inversión en seguridad seguramente sea más alta, al tiempo que la información que se pierde puede tener otro valor.
En algún caso puede ser la información en sí misma la que tenga valor, en otros, puede ser la pérdida de reputación de la empresa por haber sido víctima de este ataque informático. Sea cual sea el caso, la gente de sistemas no puede hacer más recomendaciones como la que ejemplificábamos al principio. Esto es algo serio en todos los niveles.
Desde el CEO de la empresa hasta el personal no especializado que utiliza una computadora incluso para pesar las frutas y verduras que compra en el supermercado.
La seguridad y la privacidad son temas serios. Debemos entre todos pelear esta batalla cerrando de a poco las puertas a los atacantes. Capacitando y concientizando a los usuarios finales, pero también nosotros mismos. ¡Lo vamos a necesitar!
Te invitamos a ver mas notas que pueden interesarte en nuestro blog: Ciberseguridad&SeguridadTI.
