¡Buenas, malditos y malditas! Hoy es el Día Internacional de Internet Seguro y aprovechamos nuestra cita semanal con el consultorio tecnológico para resolver dudas relacionadas con la seguridad en la red. Os contamos si las VPN gratuitas son menos seguras que las de pago, cómo recuperar criptomonedas si he sido víctima de un timo relacionado con ellas y cómo usar una extensión de Mozilla para decirle al algoritmo de YouTube que no nos recomiende vídeos de temáticas que no queremos ver. ¿Suena interesante, verdad? ¡Pues quedaos por aquí!
Eso sí, recordad que nos podéis enviar vuestras dudas para que las resolvamos en los siguientes consultorios. Lo podéis hacer a través de este formulario, enviándonos un correo a [email protected], o mandándonos un mensaje a nuestro Facebook, a nuestro Twitter o a nuestro chatbot de WhatsApp (+34 644 229 319).
¿Son las VPN gratuitas (como algunas extensiones de navegador) seguras? ¿O tienen riesgos de seguridad diferentes a las de una VPN de pago?
Tal y como os contamos en Maldita.es, una VPN (Virtual Private Network, por sus siglas en inglés) es un intermediario en nuestra conexión a Internet que cifra y oculta nuestra identidad al navegar por la red. Hoy nos preguntáis si usar una red virtual privada gratuita es segura o es menos fiable que una por la que pagamos.
“En principio, ambas deberían ser fiables, aunque está claro que las comerciales deberían tener mejor rendimiento que las gratuitas, en cuanto a velocidad y estabilidad”, apunta Andrés Marín, experto en ciberseguridad y maldito que nos ha prestado sus superpoderes. “Pero donde está el quid de la cuestión es en cómo son de respetuosas con la privacidad de los usuarios, algo muy difícil de contestar en general, pero lo que siempre tenemos que tener claro es que hay un modelo de negocio detrás”, añade.
Es decir, que no podemos decir que todas las VPN gratuitas son poco fiables o seguras y que todas las de pago sí que lo son, sino que cada una tiene sus propias características. Nos pasa lo mismo con las aplicaciones gratuitas o de pago y los datos personales que recoge cada una: sólo por que paguemos por usar un servicio digital, no implica que vaya a ser mucho más respetuoso con nuestra privacidad.
Tal y como explicó Mar Arribas, especialista en ciberseguridad y cibercooperante del INCIBE, tenemos que tener en cuenta que sea cual sea la que elijamos, por sus servidores pasa toda nuestra información: desde dónde nos conectamos y con qué equipo y qué páginas visitamos.
Que un servicio tenga todo este nivel de información puede ser peligroso, no sólo de cara a la empresa que lo mantenga sino a las posibles filtraciones. Por ejemplo, el equipo de ciberseguridad de Wizcase descubrió que la VPN Quickfox, empleada principalmente para acceder a webs chinas, no tenía protegido el servidor y toda la información de sus usuarios se podía consultar gracias a una vulnerabilidad.
También, en otros casos, como el de HolaVPN, la empresa se aprovechaba del ancho de banda de los usuarios conectados para otros fines empresariales. De hecho, un ataque DDoS se llegó a realizar usando los dispositivos de las personas conectadas a este servicio.
Entonces, ¿en qué nos tenemos que fijar si queremos elegir una? Uno de los principales factores que tenemos que tener en cuenta es si el servicio recopila cuándo te conectas y qué visitas, sea de pago o no. En una revisión del portal especializado VPN Pro, analizaron las políticas de privacidad de servicios gratuitos de VPN y encontraron que algunas como Hola, o la que trae incorporada el navegador Opera, almacenan la información de conexión y que estos datos pueden ser “compartidos” con terceros. Comparitech, un sitio especializado en seguridad en Internet, tiene publicado un análisis exhaustivo de las políticas de retención y de privacidad de 140 servicios de VPN. Aún así, es mejor asegurarnos de que estas políticas de no retención de información se cumplen consultando, si las tienen, auditorías externas realizadas al servicio de VPN.
“No hay que olvidar que el negocio de muchas VPNs gratuitas está basado en ponerte anuncios, pero además es que pueden vender nuestros datos de navegación para comercializarlos mediante perfiles más rentables comercialmente”, concluye Marín.
En definitiva, cuando vayamos a elegir una VPN (sea gratuita o de pago), tenemos que leer muy bien cuál es su política de privacidad, su política de retención de información (si registra qué actividad tenemos en Internet) y si tiene auditorías externas que puedan confirmar su buen funcionamiento, respetando lo que prometen. ¿Que no tiene alguno de estos documentos públicos o no son accesibles? Pues igual es mejor que optemos por otro servicio.
Teniendo en cuenta que las criptomonedas no están controladas por una entidad bancaria regulada por un Estado, ¿qué puedo hacer si me timan con este medio de pago? ¿Puedo recuperarlas?
Los timos por internet están a la orden del día, ¿A quién no le ha llegado un SMS o un correo electrónico fraudulento para hacerse con sus datos bancarios? En estos casos, aunque para recuperar el dinero dependerá de si el banco considera que hemos sido nosotros los que hemos cometido una negligencia o no, tenemos una entidad a la que reclamarlo.
No pasa lo mismo cuando nos estafan empleando las criptomonedas. Por ejemplo, lo vimos con los correos electrónicos que recibieron diversos usuarios a los que les hacían creer que tenían material íntimo suyo y que, para evitar su difusión a terceras personas, debían pagar una cantidad de dinero en bitcoin. Dado que las criptomonedas no se encuentran respaldadas por un banco o entidad, ¿a quién reclamamos ese dinero cuando descubrimos que hemos sido víctimas de un timo?
El sistema de registro de operaciones con activos virtuales está descentralizado. “Eso significa que no existen instituciones ni intermediarios que controlen la cadena de bloques (blockchain)— es decir, el conjunto de tecnologías que hace posible este registro descentralizado sin la necesidad de intervención de terceros—. A diferencia de los sistemas bancarios, donde necesitamos su intermediación para desarrollar una operación, en estos sistemas de finanzas descentralizadas no es posible 'borrar' o 'retrotraer' una operación que ya se ha asentado en la cadena de bloques”, explica a Maldita.es Ayelén Anzola, abogada especializada en materia de blanqueo de capitales relacionado con las operaciones con activos virtuales.
Cuando los ciberdelincuentes nos timan o nos extorsionan para que les enviemos un pago en criptomonedas “al final, tenemos que comprarlas en algún exchange— la plataforma que nos permite comprar o intercambiar criptomonedas o monedas digitales por otros activos— como por ejemplo Binance o Coinbase, y tienes que traspasárselas a la cartera de ese timador”, nos indica Miguel Ángel Romero, fundador de la empresa especializada en digitalización y ciberseguridad con la tecnología blockchain, Minery Report, y profesor del máster “Blockchain para juristas” de la Universidad Camilo José Cela.
Antes de nada, debemos saber que este tipo de carteras digitales funcionan con dos claves: una privada, que es la que el usuario utiliza para gestionar su patrimonio de criptomonedas, y otra pública, que es la que cede a terceras personas para realizar las transacciones.
¿Podemos entonces reclamar el dinero al exchange? Según Romero, “si la dirección, es decir, la cartera a la que estamos enviando esas criptodivisas está controlada por un exchange, es recomendable que nos pongamos en contacto con ellos. El problema está en que para abrirte una cuenta de bitcoin por ejemplo, no necesitas estar en ningún exchange. Es un comando que ejecutas en un ordenador con el que obtener una cuenta a la que te pueden llegar criptomonedas. Los malos utilizan esas cuentas, que no están trazadas. No hay forma de saber quién está detrás y por eso, los ciberdelincuentes utilizan ese pago”.
En caso de que sepamos que la cartera se encuentra en un exchange determinado, por ejemplo Coinbase, el experto en blockchain aconseja que nos pongamos en contacto con la plataforma, “diciendo que hemos sido engañados o extorsionados para que marquen la cuenta destino en su lista negra para que el malo no pueda convertir criptomonedas en dinero”.
En todo caso, sí que es importante que se denuncie a las Fuerzas y Cuerpos de Seguridad del Estado (FCSE), explica Ayelén Anzola. No obstante, señala que “es difícil recuperar el dinero debido a que las medidas que tradicionalmente se adoptaban para recuperar bienes también se han alterado en este nuevo ámbito 'cripto'. No sabemos a quién enviar la orden y no tenemos intermediarios que nos ayuden a hacerla cumplir, como sí ocurre en el sistema bancario”, añade. Aunque señala que “la denuncia ayudará a que el timo no ocurra a otras personas y a concienciar del daño de estos delitos”.
Antes de hacer una transacción es importante que tengamos en cuenta qué requisitos nos pide el exchange. Según Miguel Ángel Romero, “lo normal es que te pidan cierta documentación al registrarte, al meter dinero y mucha documentación cuando quieras sacar dinero. Si no te piden datos como tu nombre o DNI, sospecha, porque puede que no esté cumpliendo con la normativa a nivel español y europeo de blanqueo de capitales”.
Además, añade que “podríamos ser víctimas de otro fraude e introducir nuestros datos bancarios en una página fraudulenta pensando que vamos a comprar criptomonedas y al final se queden con los datos de nuestra tarjeta”.
En Maldita.es ya os hemos hablado en diversas ocasiones del timo de las falsas inversiones en bitcoin que utiliza caras de famosos. Por tanto, es recomendable que, antes de invertir, sepas que las criptomonedas no están reguladas en la Unión Europea y que, según la Comisión Nacional del Mercado de Valores (CNMV) y el Banco de España “su extrema volatilidad, complejidad y falta de transparencia, las convierten en una apuesta de alto riesgo”.
También es aconsejable que antes de hacer una inversión te informes cómo hacerla. En una guía de inversión de la Asociación Europea de Asesoría y Planificación Financiera se recomienda seguir cinco puntos clave antes de invertir en criptomonedas. Además, en Maldita.es hemos realizado una emisión especial en Twitch sobre cómo evitar que nos la cuelen con timos y estafas que aprovechan el bitcoin.
La herramienta de Mozilla para intentar limitar el efecto desinformador de los vídeos recomendados por YouTube
YouTube es una de las plataformas por las que circula mucha desinformación, especialmente a través de su sistema algorítmico de recomendaciones. Su mecanismo nos permite saltar entre vídeos que la plataforma nos sugiere en función de nuestro perfil y nuestros intereses, pero en muchas ocasiones entre esas sugerencias se cuela desinformación sobre una amplia variedad de temas. Por eso, desde Maldita.es hemos enviado a la empresa una carta firmada por 44 verificadores más de todo el mundo, con la petición de que tomen acciones para frenar los bulos que muchos canales diseminan en la plataforma.
Entre las organizaciones que también están trabajando para que YouTube actúe sobre los efectos negativos de sus sistema de recomendaciones está la Fundación Mozilla. Recientemente, publicaron los resultados de una investigación que han llevado a cabo sobre cómo el algoritmo de la plataforma puede llevar a un usuario de un vídeo cualquiera a contenidos extremistas, que contienen desinformación o que en ocasiones incumplen sus propias normas de publicación.
Para llevar a cabo este estudio, crearon una extensión para navegador llamada 'RegretsReporter', que se traduce al español como "reportero de arrepentimientos". Mozilla llama "arrepentimientos" en su investigación a aquellos casos en los que llegamos a un vídeo sin esperarlo y, sobre todo, sin haberlo buscado, y que terminan siendo un contenido al que no queríamos llegar.
La extensión es de código abierto y puede instalarla cualquier persona que quiera colaborar en la investigación. Hacerlo también permite a los usuarios "avisar" a YouTube de cuándo no quieren que la plataforma vuelva a recomendarles un vídeo específico, por lo que puede llegar a ser una herramienta muy útil contra la desinformación. Veamos cómo funciona.
'RegretsReporter' puede descargase para los navegadores Mozilla Firefox y Google Chrome. Una vez instalada, veremos que cada vez que vemos un vídeo en YouTube, aparecerá en la esquina superior izquierda un pequeño emoji con una carita. Presionando ese botón activaremos la función de "Parar de recomendar". Mozilla explica que haciendo esto se envía un comentario directamente a YouTube avisando de que no quieres que se te recomienden más vídeos del estilo. Una vez hecho esto, nos aparecerá un pequeño recuadro en el que podemos dar feedback a Mozilla sobre por qué no quieres ese tipo de recomendaciones. Por ejemplo, puede ser porque simplemente no te gusta el contenido pero también porque contiene desinformación o algún contenido inapropiado.
Esa es la función más básica de la herramienta, pero también podemos optar por sumarnos a la investigación de Mozilla aportando más datos. Al descargar el plug-in, Mozilla nos ofrecerá la opción de 'opt-in' o "incluirnos" dentro de su estudio. Es importante señalar que la extensión funciona independientemente del idioma en el que tengamos configurada nuestra cuenta de YouTube, pero el texto principal que se nos presenta está en inglés. También avisan de que sólo pueden usarla usuarios mayores de 18 años.
Si optamos por incluirnos dentro del estudio, la extensión enviará la siguiente información a Mozilla: el número y el tipo de vídeos que vemos, metadatos sobre esos vídeos, la configuración de recomendaciones de nuestra cuenta y qué tipo de vídeos se nos recomienda habitualmente. Esta opción está disponible para aquellas personas que quieran contribuir a esta investigación sobre el algoritmo de recomendaciones de YouTube.
Si decidimos participar en el estudio y que la información de nuestra navegación se mande, no irá asociada a nuestra cuenta en YouTube, según asegura Mozilla en la Política de Privacidad de esta extensión. Esto es porque estos datos van ligados a un número identificativo aleatorio que no se corresponde con nuestro perfil. Mozilla sí que obtendrá información sobre nuestro sistema operativo, tipo de navegador, idioma en el que lo tenemos configurado, y una dirección IP que "eliminan en 90 días". También podrán guardar nuestro correo electrónico si participamos en la encuesta que nos ofrecerán completar al iniciar la extensión.
¡Esperad un momento!
No somos técnicos o ingenieros pero contamos con mucha ayuda de personas que son expertas en su campo para resolver vuestras dudas. Tampoco podemos deciros qué servicio usar o dejar de usar, solo os informamos para que luego decidáis cuál queréis usar y cómo. Porque definitivamente, juntos y juntas es más difícil que nos la cuelen.
Si tenéis cualquier duda sobre esta información o cualquier otra relacionada con la manera de la que te relacionas con todo lo digital, háznosla llegar:
En este artículo ha colaborado con sus superpoderes el maldito experto en ciberseguridad Andrés Marín.
Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de Whatsapp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.