martes, 5 de febrero de 2013

Consejos de Seguridad de Twitter y Google


Twitter y Google nos dan consejos de seguridad. Mis comentarios al respecto.

Twitter.

Vale la pena leer las recomendaciones de Twitter y seguirlas. En general son bastante atinadas pero tengo un par de observaciones:

Nos dicen: “ten cuidado con los enlaces sospechosos”. Es un buen consejo pero siempre me quedo con la duda de cómo traducir eso al mundo real. ¿Qué es un tweet con un link sospechoso? 
Tal vez un tweet que te manden sin sentido, o tal vez incoherente. Pero si resulta que es algo por el estilo de “Apple ha perdido ganancias en la bolsa, entérate aquí http://bit.ly/algo” pues no hay mucho de dónde rascarle para decidir que es “sospechoso”.

Nos dicen: “Aunque un amigo te haya enviado el enlace, es posible que su cuenta esté comprometida”. Igual que arriba y peor porque te la mandó un amigo. Insisto, si no es algo demasiado incoherente o sin sentido, será difícil diferenciar lo que es “extraño” o “sospechoso”.

Nos dan recomendaciones en caso de usar computadoras públicas: “Si utilizas una computadora de acceso público…”. Mi recomendación es que en lo posible no usaras este tipo de equipos que se encuentran en Cafés de Internet y similares para iniciar sesión en X o Y. Entiendo que no siempre se puede, pero yo que tú lo evitaría.

En fin, lean el post de Twitter y no dejen de lado su “página de ayuda para cuentas comprometidas”.

Google.

De nueva cuenta, la información que nos presenta Google es de utilidad, así es que no hay que dejar de leerla. Realmente no tengo más que un par de comentarios menores al respecto, así es que vayamos al grano:

En la sección “Protege tus contraseñas” no nos dicen que debemos de usar administradores de passwords si se quiere que sean únicos por servicio y robustos. De otra manera sin su ayuda es una tarea difícil que acaba por vencer el mejor usuario. Recomiendo KeePass o LastPass.

En la sección de “Evita el robo de identidad” vuelvo a lo mismo de las recomendaciones de Twitter. Te encontrarás con “No respondas a un correo sospechoso”, “página web desconocida” o “una liga en la que no confías”.   
Pienso que lo que podemos hacer es NO dar click en todo tipo de sitio en modo automático. 
Si nos detenemos a pensar un poco en lo coherente del mensaje y si tiene sentido tendremos una mejor oportunidad de estar protegidos. Aun así, créanme, podremos (me incluyo) evitar varios engaños, pero si está bien hecho y el atacante hizo un trabajo previo de recolección de información, será muy difícil detectar el mensaje “sospechoso”.

¿Qué hago ante una liga sospechosa? Pues si la sospecha es fuerte, ni abrirlo. Si la sospecha no es concluyente, abrir la liga en un sistema operativo con navegador (ambos) actualizados, con Firefox o Chrome, con NoScript activado. Y agregaría que rezaras, pero eso no sirve de nada ni aquí ni en ningún otro caso. Obvio hay otras medidas más paranoicas que no estoy tocando aquí.

Conclusión.
Lean los consejos. Y síganlos.