¡Buenas, malditas y malditos! Un martes más, volvemos a la carga con nuestro consultorio tecnológico. Atentos a las dudas que resolvemos hoy: ¿Qué hago si me preocupa y me siento mal porque haya mucha información sobre mí colgada en Internet? ¿Cómo se cuelan anuncios con casos de phishing en una plataforma como Facebook? ¿Qué es eso del sistema FIDO y qué tiene que ver con nuestras contraseñas?
Con la ayuda de especialistas en diferentes campos tecnológicos resolvemos estas y todas las dudas que podáis tener sobre el mundo digital, así que recordad enviarlas todas al correo [email protected], a nuestro Facebook, a Twitter o a nuestro chatbot de WhatsApp (+34 644 229 319), o si no a través de este formulario.
Me aparecen anuncios en Facebook con falsas promociones de páginas que suplantan a empresas. ¿Qué puedo hacer y cómo los identifico?
Un anuncio de Facebook nos avisa de que Tefal está regalando una batería de cocina por tan sólo 2 euros o de que Correos está vendiendo paquetes que no han sido recogidos por 1,95 euros. ¿El problema? Se trata de phishing. Los estafadores crean una página de Facebook y se hacen pasar por una empresa que conoces y en la que confías para intentar quedarse con tus datos o tu dinero.
En estos casos, los post de Facebook enlazan a páginas web en las que nos piden nuestros datos personales y los datos de nuestra tarjeta bancaria. Con ello, nos realizan un cobro y nos dan de alta en un servicio de suscripción que no hemos solicitado. A través de nuestro chatbot de WhatsApp (+34 644 229 319) y nuestro correo electrónico [email protected], nos habéis enviado numerosas capturas de pantalla de publicaciones de este tipo, que aparecen marcadas como “Publicidad” en la red social.
Santiago Casteleiro, maldito e informático experto en técnicas de hacking, explica que esto se debe a que los ciberdelincuentes abren páginas de Facebook falsas de empresas reconocidas y crean una campaña publicitaria en la red social. Según Casteleiro, estos anuncios fraudulentos se caracterizan por “meter prisa, ya que los perfiles falsos en las redes sociales suelen durar poco” y por “el precio de los productos que anuncian, que está siempre por debajo del precio del mercado”. De este modo, consiguen captar nuestra atención.
Las políticas de publicidad de Facebook prohíben “prácticas empresariales inaceptables”, como anuncios que promocionan “productos, servicios, esquemas u ofertas mediante prácticas engañosas, lo que incluye aquellos anuncios destinados a estafar personas y robarles dinero o información personal”. Sin embargo, con casos como estos vemos que se cuelan varios anuncios en la plataforma que claramente buscan engañarnos con técnicas de phishing.
De hecho, la red social también prohíbe la suplantación de identidad de marcas o entidades en páginas. Asimismo, los anuncios en Facebook no deben infringir las normas comunitarias de la red social. Y estas normas establecen que no está permitido el fraude y el engaño. Por ejemplo, contenido que busque engañar a otras personas “con el fin de generar un beneficio económico o personal en detrimento de un tercero o una entidad” por medio de “estafas relacionadas con productos y premios”, entre otras.
Desde Facebook admiten a Maldita.es que la aplicación de sus políticas no es perfecta, que no pueden detectar todas las posibles infracciones y que el hecho de que un anuncio se publique en Facebook no significa necesariamente que cumpla con sus políticas.
Según explican, su sistema de revisión de anuncios utiliza una combinación de tecnología, informes de su comunidad y la revisión de sus equipos para hacer cumplir sus políticas. “Si bien nuestra revisión está automatizada en gran medida, confiamos en nuestros equipos para crear y capacitar estos sistemas y, en algunos casos, para revisar manualmente los anuncios”, señala la compañía en este artículo.
En este sentido, alientan a los usuarios a reportar anuncios que puedan violar las normas, puesto que esos informes pueden provocar que un anuncio se revise. Como podemos leer en las políticas de publicidad de la plataforma, los anuncios pueden revisarse incluso después de que estén activos y rechazarse si infringen las políticas. Para notificar un anuncio fraudulento, debemos pinchar en los tres puntos que aparecen en la esquina superior del post, hacer click en “denunciar anuncio” y seleccionar cuál el problema que más se ajuste, como “engañoso o fraude”:
Para distinguir un anuncio fraudulento, hay una serie de pistas en las que podemos fijarnos. Si el precio de la oferta es demasiado bueno o si la publicación intenta transmitirnos una sensación de urgencia y prisa debería hacernos sospechar. También podemos comprobar quién publica el anuncio. En uno de los casos que hemos comentado anteriormente, la página de Facebook que publicaba el anuncio se hacía pasar por Correos, pero la página oficial de la entidad en la red social es facebook.com/correos.es y está verificada.
En Maldita.es hemos detectado que se crean páginas de Facebook falsas para, por ejemplo, realizar sorteos fantasmas. En ese artículo, Casteleiro explicaba que debemos fijarnos en si la fecha de creación de la página es muy próxima a la supuesta promoción o sorteo que se anuncia. Esto lo podemos comprobar en la pestaña ‘Transparencia de la página’. Siguiendo con el ejemplo anterior, si nos vamos a esa pestaña, podemos comprobar que la página “Correos España” fue creada a finales de marzo. No obstante, tenemos que tener en cuenta que, a veces, las publicaciones con falsas ofertas se borran y al cabo del tiempo pueden lanzar otras, por lo que la página puede llevar creada más tiempo.
¿Qué es FIDO, el estándar de autenticación sin contraseña que acordaron impulsar Apple, Microsoft y Google?
“Un mundo sin contraseñas”. Oímos esa frase cada vez con más frecuencia. ¿Cómo entraríamos a nuestras cuentas y nuestros perfiles de Internet? ¡Si eso es como se quitaran la llave de mi casa! En ese caso, sólo nos quedaría llamar a un cerrajero o romper la ventana para entrar y abrir desde dentro. Los nuevos estándares tecnológicos para eliminar las contraseñas se basan un poco en este último punto, salvo que ahorrándonos los cristales rotos. Es el caso de FIDO, un sistema de autenticación sin contraseñas por el que nos habéis preguntado.
Antes qué nada, ¿qué es FIDO? No son las siglas de un sistema tecnológico, si es eso lo que os estáis preguntando, sino de una alianza entre varias empresas tecnológicas y bancarias, como Amazon, American Express, Intel, Meta, Visa o Samsung. También forman parte organizaciones como Mozilla o Red Hat y departamentos gubernamentales como el Ministerio de Transformación Digital de Australia y el departamento de Seguridad de la Información de Alemania.
FIDO lleva en marcha desde 2013, pero ha vuelto a ser noticia porque en mayo de 2022 tres gigantes tecnológicos han anunciado que también lo implementarán en sus sistemas: Apple, Microsoft y Google. Tampoco significa que la función ya esté disponible; por el momento, sólo se ha anunciado su intención de implementar el protocolo.
El objetivo de esta alianza es crear un sistema de autenticación digital que no se base en introducir una contraseña de creación propia. Según sus datos, las contraseñas son la raíz del 80% de las brechas de seguridad. Año tras año, se ve que seguimos usando las mismas claves fáciles y simples que pueden averiguarse en apenas unos minutos, pese a las advertencias de los especialistas en ciberseguridad. Empresas como Nord Security realizan ránkings anuales de las contraseñas más usadas que han aparecido en filtraciones de datos: “123456”, “qwerty”, “password” o “11111” siguen estando entre ellas.
Las contraseñas no son la única manera de identificarnos en un servicio digital, pero sí la más común. “Existen tres modos de saber que eres un usuario legítimo: por algo ‘que sabes’ (una contraseña o un pin), por algo ‘que tienes’ (la llave de tu casa) o por algo ‘que eres’ (una identificación biométrica como la huella o la cara)”, nos explica nuestro maldito Carlos Tomás, que nos ha prestado sus superpoderes como especialista en ciberseguridad y criptografía. Siguiendo con el ejemplo, expone que a veces “se usan combinaciones (por ejemplo, para sacar dinero de un cajero se usa una tarjeta (algo que tienes) y algo que sabes (el pin), y si sacas el dinero en ventanilla se usa algo que tienes (un DNI) que se comprueba con algo que eres (que te pareces a la foto de ese DNI)”.
¿Dónde entra el sistema de FIDO, en ese caso? La idea es sustituir las contraseñas por algo que tenemos. “En este caso, es un almacenamiento de claves criptográficas como es una tarjeta contactless o el DNI electrónico. De esa manera, alguien que no tenga ese almacén criptográfico no se podrá autenticar”, continúa Tomás.
Tal y como lo presenta FIDO, en este caso no tendríamos que acordarnos de una contraseña, sino que el sistema funciona como una especie de ‘caja fuerte’ (un almacén criptográfico) que se abre cada vez con una ‘llave’ (una clave criptográfica) nueva que se guarda en el propio móvil u ordenador. Para que se nos dé esa ‘llave’, bastaría con que nos identificásemos con otro método de nuestra elección, como un PIN o un escaneo de nuestra cara o nuestra huella dactilar (datos biométricos).
“A día de hoy ya estamos usando algo parecido por ejemplo en las aplicaciones móviles que permiten delegar la autenticación al sensor de huella del teléfono, donde tenemos un almacén de claves criptográficas cuya llave es la huella”, señala Tomás. Si usas un gestor de contraseñas, te puede sonar este método: guardamos todas nuestras contraseñas en la ‘caja fuerte’ de la aplicación, y fijamos una clave maestra para abrirla. Sin esa contraseña maestra, nos quedamos sin acceso a todas las demás.
En la práctica, el sistema FIDO evita tener que crear y escribir una contraseña complicada y difícil de memorizar cada vez que nos registramos en un sitio nuevo (y sí, de momento estos son los pasos que deberías seguir), sino que al hacerlo desde un dispositivo que ya tengamos configurado, directamente nos deje entrar a la web o la aplicación a la que queramos ingresar. La diferencia que guarda con un gestor de contraseñas o con el sistema de autoguardado de un navegador, según Tomás, es que, al final, existe la posibilidad de que consigan adivinar nuestra clave maestra a través de ingeniería social o fuerza bruta, y con ello acceder a todas nuestras claves.
“Para iniciar sesión, los usuarios tendrán que hacer lo mismo que ya hacen a diario para desbloquear sus dispositivos, como indicar el código PIN o utilizar un sistema de reconocimiento facial o de huella dactilar. Este nuevo enfoque protegerá del phishing y será mucho más seguro que las contraseñas y las tecnologías multifactor, como los códigos de un solo uso enviados por SMS”, señalaba Apple sobre este sistema.
¿Suena más fácil, no? ¿Es seguro? También nos contesta Tomás: “El sistema FIDO se basa en claves criptográficas, por lo que atacarlas por fuerza bruta es imposible en un tiempo razonable. La limitación es que dependemos de un elemento que podemos perder, por lo que siempre tendremos que autorizar otros métodos de reserva en caso de pérdida, ya que si no podríamos perder el acceso para siempre”. O sea, que la seguridad real del sistema depende de que los métodos que autoricemos para que se nos dé la ‘llave’ de la ‘caja fuerte’ de FIDO que decíamos al principio sean también seguros.
¿Cómo lidiamos con la ansiedad que nos puede causar que haya mucha información o imágenes nuestras colgadas en Internet?
¿Ansiedad? ¿Malestar? ¿Angustia? Pueden ser síntomas de la sobreexposición de información que a veces experimentamos en Internet. Hemos hablado largo y tendido de las consecuencias que tiene para nuestra privacidad y nuestra identidad online publicar un exceso de información en espacios online pero, ¿qué hay de los efectos en nuestra salud mental? ¿Qué hacemos si nos preocupa que haya demasiados contenidos o imágenes sobre nosotros colgados para la posteridad?
No hay un manual de instrucciones que nos sirva para lidiar con el malestar psicológico, sino que más bien nos tocará reconciliarnos con la forma con la que nos relacionamos con Internet y nuestras redes sociales. Es lo que nos recomienda Aurora Gómez, psicóloga especializada en comportamientos digitales: “La trampa es que cuando se siente ansiedad, no hay por qué bloquearla. La ansiedad es el canario en la mina que nos dice que hay un peligro. Si sientes ansiedad porque están esos datos ahí, no hagas un ejercicio de respiración, sino un ejercicio de privacidad de tus datos”.
¿Por qué podemos sentirnos mal o experimentar ansiedad por algo aparentemente inofensivo, como colgar mucho contenido en redes, por ejemplo? Ocurre al comenzar a pensar que, en un futuro, la publicación de esa información pueda tener un efecto negativo sobre nosotros. “La ansiedad es la respuesta a la amenaza, a un peligro real o imaginario. En este caso el peligro es real: tú haces una foto ahora y en un futuro puedan usar tus datos biométricos para algo que no has autorizado”, señala Gómez.
Como indica la especialista, muchas veces no somos conscientes de que exponer cierta información en redes o en espacios online puede tener un efecto directo en nuestras vidas y no es hasta que lo percibimos que notamos ese malestar o esa angustia que ganamos consciencia de ello. Ejemplos de ello son que seamos víctimas de algún fraude porque se han usado nuestros datos para suplantar nuestra identidad, que se nos deniegue un puesto académico o laboral por publicaciones en redes sociales o simplemente saber que lo que publicamos puede llegar a manos y ojos desconocidos.
En otra ocasión, una persona de nuestra comunidad nos preguntó qué hacer si unas fotos o un vídeo en el que aparecemos se vuelve viral y empieza a compartirse en varias plataformas a la vez. Su caso fue el de un vídeo que colgó en TikTok siendo menor y que terminó incluso en plataformas privadas. La solución en ese caso no es fácil, ya que no es posible eliminar de un plumazo todas las veces en las que se haya replicado, sino que habrá que contactar con las plataformas correspondientes y, en determinados casos, buscar ayuda legal.
Las consecuencias a nivel psicológico de un evento así pueden ser duras, recuerda Gómez, especialmente el lidiar con la falta de control. Un ejemplo muy claro de esto son los casos de sextorsión: una persona (normalmente una mujer) envía imágenes de carácter sexual a otra y esta amenaza con publicarlas a menos que la víctima haga algo por ella. Es un tipo de chantaje recurrente que tiene que ver con la popularización de las redes sociales (y que en ocasiones se usa incluso para engañarnos y cometer un fraude).
Gómez recuerda que este tipo de casos inciden en el victim blaming o el ‘echarle la culpa a la víctima’: “Como tú no sabes usar la tecnología y cómo tú has enviado esas imágenes, te mereces que te engañen o que te estafen”. Esa sensación es la que luego lleva a sufrir episodios de ansiedad e incluso de depresión que requieren de atención médica y psicológica. También a nivel legal: es tan común que, en 2019, la Agencia Española de Protección de Datos puso en marcha un canal prioritario para retirar este tipo de contenido sensible de Internet.
Sabemos que a veces simplemente no podemos controlar todo esto. A lo mejor colgar cierta información o producir contenidos es un requisito profesional y es parte de tu trabajo, es noticioso y aparece en medios de comunicación, lo cuelgan personas de nuestro entorno… Es verdad, no siempre depende de nosotros. La cuestión es que, independientemente de la razón, la forma de lidiar con ello a nivel psicológico y emocional está en la actitud y la relación que establecemos con Internet, remarca Gómez.
“Pensar que no podemos librarnos de esa sensación de la noche al día es difícil, pero pensar que podemos tomar pequeños pasos y decisiones de privacidad alivia: tener un plan de seguridad digital y saber qué pasos pequeñitos vamos a dar en nuestra privacidad”, recomienda la psicóloga.
¿Qué pasos serían esos? Aquí se abre una abanico de posibilidades, en función del nivel de actuación sobre nuestra privacidad que queramos alcanzar. Podemos empezar por configurar nuestras redes sociales para limitar quién ve qué sobre lo que publicamos, controlar la forma en la que usamos nuestras aplicaciones, y acostumbrarnos a eliminar contenido, cuentas y servicios que ya no utilicemos. Esto incluye nuestros perfiles en redes sociales, para que lo que subamos a ellos no quede pululando por ellas si ya no las estamos usando. En determinadas ocasiones, podremos hacer uso de nuestro derecho de supresión (más conocido como derecho al olvido), en caso de que se muestre en Google información que no debería estar ahí. También podemos aprender sobre qué servicios digitales son más o menos cuidadosos con nuestra privacidad. En Maldita Tecnología tenemos un repositorio con aplicaciones que recogen menos datos que los servicios más populares.
Por último, nos tocará ejercitar el sentido común y concienciarnos del tipo de información que no deberíamos subir a redes sociales o a otros espacios online, por ejemplo para no exponer datos personales, para que no suplanten nuestra identidad, o simplemente para que gente desconocida no tenga acceso como un libro abierto a lo que hacemos y dejamos de hacer en nuestro día a día. Para conocer más sobre este asunto, te invitamos a repasar la Maldita Twitchería con especialistas legales, psicológicos y en privacidad que nos aconsejan cómo protegernos de esta sobreexposición en Internet.
Y como recordatorio...
No somos técnicos o ingenieros pero contamos con mucha ayuda de personas que son expertas en su campo para resolver vuestras dudas. Tampoco podemos deciros qué servicio usar o dejar de usar, solo os informamos para que luego decidáis cuál queréis usar y cómo. Porque definitivamente, juntos y juntas es más difícil que nos la cuelen.
Si tenéis cualquier duda sobre esta información o cualquier otra relacionada con la manera de la que te relacionas con todo lo digital, háznosla llegar:
En este artículo han colaborado con sus superpoderes los malditos Santiago Casteleiro y Carlos Tomás, especialistas en informática y ciberseguridad.
Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de Whatsapp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.