Qué es el doble factor de autenticación, por qué deberías activarlo y qué otros consejos dan los expertos.
Nunca dar datos personales. No entregar claves. No abrir links sospechosos. El ABC de la seguridad informática para no ser estafados suena bastante simple. Y, sin embargo, cada vez hay más casos. A partir del incidente de seguridad informática que tuvo Mercado Libre esta semana, en el que ciberdelincuentes accedieron a datos personales de 300 mil cuentas, se dispararon una serie de nuevas estafas, siempre con el mismo objetivo: robar datos y dinero de usuarios.
A partir de la noticia, los estafadores aprovechan para renovar sus discursos en correos electrónicos, SMS, mensajes directos en redes sociales y WhatsApp, haciéndose pasar por las empresas. Y muchas víctimas caen en esta trampa: son todas variantes de lo que se conoce como phishing, un engaño para hacer que entreguemos nuestros datos personales y luego nos estafen. Sólo en Argentina, este tipo de ataques creció un 20% entre junio y octubre de 2021.
Así, el caso de Mercado Libre “actualizó” las mecánicas de engaño y generó confusión respecto de una pregunta simple: ¿cómo defenderse?
Entre algunas desinformaciones que se viralizaron, como un audio que llamaba a “desasociar todas las tarjetas” de Mercado Pago, retirar el dinero o cerrar cuentas, lo cierto es que nada de esto es necesario: en todo caso, si se quiere tomar una medida de seguridad, la más importante es activar la autenticación de dos pasos para tener nuestras cuentas securizadas.
Acá, tres expertos explican de qué se trata esta medida clave y complementan con otras que mejoran nuestra higiene digital y, por lo tanto, redundan en mayor tranquilidad a la hora de manejar nuestro dinero.
Activar 2FA: lo más importante pero, ¿qué es?
“La MFA O 2FA es un filtro de seguridad para proteger a las cuentas de accesos no autorizados. En una época en la que sabemos que nuestros datos de acceso (usuario y contraseñas) se filtran y venden constantemente, el 2FA le permite a un sistema confirmar que una persona es la titular genuina de la cuenta a la que se está accediendo. La validación es a través de algo que, en teoría, solo el titular sabe, posee o es”, explica a Clarín Jorge Litvin, abogado especialista en cibercrimen y ciberseguridad.
En Mercado Libre y Mercado Pago, esto se hace desde las opciones, en la pesataña seguridad: ahí está la opción.
Su referencia es a una máxima de la seguridad informática: para acceder necesitamos algo que sabemos (una contraseña), algo que tenemos (un token de seguridad, por ejemplo) o algo que somos (datos biométricos: la huella digital, la cara, etc.). Cada uno de estos es un factor distinto. Para que nuestra cuenta esté a salvo necesitamos al menos dos de esos tres factores.
Dos contraseñas no implica dos factores: los factores se distinguen para que a los ciberdelincuentes les cueste acceder a la cuenta, ya que con nuestra contraseña solamente no podrán entrar ya que necesitarán de una validación desde nuestro teléfono celular o nuestra huella digital.
Este sistema es el que Ualá tenía disponible de manera parcial en su base de usuarios y no de manera obligatoria para todos, lo que permitió que al menos a 68 cuentas las vaciaran durante el fin de semana de carnaval.
En el caso de Mercado Libre, es obligatorio: cada vez que iniciamos sesión nos pide que confirmemos que somos nosotros por su canal oficial en WhatsApp. Y esto nos llega a nuestro teléfono: sólo nosotros podemos confirmarlo.
Pero acá Litvin advierte algo más, que es clave: “Es preferible activar la autenticación mediante app (como Google o Microsoft Authenticator) por sobre el celular. Esto se debe a que las compañías proveedoras de servicios de telefonía móvil tienen serios problemas de vulnerabilidad que habilitan maniobras como el SIM Swapping [robo de tarjeta SIM del celular para usarla en otro teléfono y acceder a nuestras cuentas] por parte de un criminal. Si tienen acceso a nuestra línea, tienen acceso a todo lo que se autentifica mediante ese número de línea”, agrega.
Este es el punto donde hay que tener cuidado: si hacemos un cambio de clave o queremos entrar en un dispositivo nuevo, es esperable que nos llegue un mensaje de la compañía para validar nuestra identidad. Pero si ese mensaje llega sin que nosotros hayamos hecho nada, es muy probable que sea una estafa.
Ahora bien, además de este consejo de seguridad clave, otros especialistas aportan más información.
No hacer clic en links extraños
“El phishing es una de las estafas más antiguas y conocidas de Internet. Podemos definir el phishing como cualquier tipo de fraude de telecomunicaciones que utiliza trucos de ingeniería social para obtener datos privados de las víctimas”, explica a Clarín Luis Corrons, experto en seguridad informática de Avast.
“Como regla general, no hay que hacer clic nunca en ningún enlace que nos llegue, ya sea a través de SMS, o incluso su correo electrónico, sin verificar primero con la persona o empresa de la que proviene el mensaje, a través de un medio diferente y confiable”, agrega Corrons.
Pongamos un ejemplo. Si nos llega un mail que dice que tenemos que actualizar los datos de la tarjeta en nuestra cuenta de Netflix, la forma de saber si hay un problema con nuestro medio de pago es entrar a la aplicación y ver si nos salta un alerta: las plataformas suelen avisar esto desde dentro de su propio sistema. Pero nunca, jamás, abrir un link que nos llega por un correo electrónico.
“Siempre es más seguro escribir la URL de la empresa usted mismo en su navegador y, en general, debe evitar hacer clic en los enlaces y archivos adjuntos que se incluyen en correos electrónicos promocionales”, cierra el experto.
Tener los programas y aplicaciones actualizados
Muchas veces los sistemas presentan vulnerabilidades que son corregidas con actualizaciones.
“Es fundamental contar con las últimas versiones de los programas y sistemas operativos, ya que ‘parchean’ posibles vulnerabilidades y, por lo tanto, protegen tanto a los usuarios finales como a las organizaciones para salvaguardar sus activos digitales También, para proteger nuestra información, se recomienda realizar copias de seguridad y backups [respaldos de información] en forma periódica”, explica a Clarín Pablo Lima, especialista de la empresa de ciberseguridad VU.
Utilizar contraseñas robustas o un gestor de claves
Este es un punto muy importante. Gran parte del problema radica muchas veces en contraseñas débiles. “Las contraseñas más fuertes son las alfanuméricas, que también cuentan con mayúsculas y minúsculas intercaladas, signos, entre otros”, explica Lima.
Pero acá viene el gran problema: “A mayor usabilidad, menor seguridad; a menor usabilidad, mayor seguridad”, dice otra máxima. Lo que significa que cuanto más robusta es una contraseña más difícil será que la recordemos, pero también más segura. Y cuánto más fácil sea será más simple recordarla, pero más fácil será de “crackear” para los ciberdelincuentes.
Para esto se crearon los administradores de contraseñas: “Es esencial e importante el crear contraseñas únicas para cada inicio de sesión y cada sitio web. Pero, ¿quién tiene la memoria para hacer un seguimiento de todos esos? Ciertamente nadie. Por lo cual, es recomendable usar un administrador de contraseñas. Los administradores de contraseñas son bóvedas seguras donde puede almacenar cada contraseña. Todo lo que tiene que recordar es una contraseña maestra para obtener acceso a cualquier información de inicio de sesión que necesite”, explica el experto de Avast.
Por supuesto, la seguridad absoluta no existe: muchos especialistas los critican por una razón obvia: es poner todos los huevos en la misma canasta. Pero la opinión generalizada es que, tomando las medidas pertinentes (no instalar sus extensiones en navegadores, por ejemplo), es mejor usarlos.
El momento de la verdad: verificar si fuimos hackeados
“Have I been pwned??” es una web que nos responde la pregunta cuya respuesta no queremos saber: ¿hay claves nuestras circulando en la web?
A no asustarse: casi siempre la respuesta es sí. Lo que no significa necesariamente que nuestros datos estén comprometidos (ya que pueden ser claves viejas). Pero si la página nos dice que sí, como medida extra de seguridad conviene cambiar claves.
Finalmente, vale aclarar también que el fenómeno de las ciberestafas no es nuevo. Durante la pandemia, los delitos informáticos se incrementaron. Por tomar un ejemplo, de 2020 a 2021 las denuncias que recibió la Unidad Fiscal Especializada en Ciberdelincuencia pasaron de 2.581 denuncias a recibir un total de 14.583: un 465% más.
Las empresas también registraron más ataques informáticos: según un relevamiento de la Dirección Nacional de Ciberseguridad, en 2021 se registró un aumento interanual del 261%.
Sin dudas, son este tipo de casos como los de Mercado Libre o Ualá los que empujan ambas cifras hacia arriba. Razón por la cual es clave tomar los recaudos necesarios para, a fin de cuentas, evitar dolores de cabeza.