Maldita Tecnología
25/02/2020

Puertos USB públicos, gestores de contraseñas y 'sandbox': inauguramos el consultorio tecnológico de Maldita

¡Hola, Malditas y Malditos! Os damos la bienvenida al primer consultorio de Maldita Tecnología. Ya conocéis el que hacen las compañeras de Ciencia, así que este formato os resultará familiar. Una vez a la semana, trataremos de responder a las preguntas que nos hagáis a través de Twitter, Facebook y que nos mandéis a [email protected] y a nuestro servicio de WhatsApp (655 19 85 38) sobre datos personales, dispositivos, derechos digitales, seguridad online y muchas otros temas, especialmente aquellos que os suenen raro o no lleguéis a entender.

¿Tienes una pregunta sobre tecnología y nuestra relación con ella? Dispara. 

¿Me pueden robar los datos del móvil si lo cargo en los puertos de USB públicos del Metro de Madrid o del aeropuerto? 

No, en este caso concreto no. Los terminales de carga por USB que hay en las estaciones del Metro de Madrid, dentro de los trenes y en el aeropuerto de Adolfo Suárez Madrid Barajas van conectados únicamente a la alimentación del cableado eléctrico, según han confirmado ambos espacios a Maldita.es, y no pueden transferir datos. ¿La diferencia? La misma entre enchufar el móvil a un equipo en un coche y conectarlo a través del encendedor que suelen traer para los cigarros: el último solo implica transferencia de energía y no de datos o archivos.

Sin embargo, ojo, porque no todos los terminales de carga USB son sólo de alimentación energética. Normalmente, las conexiones USB también admiten transferencia de datos. Por ejemplo, para que la empresa que los instala pueda hacer un seguimiento de los usuarios que se conectan a ese flujo de corriente. Hay muchos puntos de carga que sí tienen instalado un sistema informático que puede ser manipulado y por eso se recomienda que no se usen, porque puedes poner en riesgo tu dispositivo. 

via GIPHY

Si el sistema informático que controla esa transferencia se ve comprometido con un virus, eso que llamamos malware, podría entonces pasar a tu dispositivo y así los malhechores podrían controlarlo y quedarse con tus datos.

¿Tiene por qué pasar? Pues no, pero el riesgo es real.  Según Sergio Carrasco, ingeniero de telecomunicaciones y abogado especializado en seguridad y privacidad, “en el momento que conectamos nuestros dispositivos a otros que cuentan detrás con algún tipo de hardware para gestionar las cargas y enviar información sobre su uso, se puede producir este ataque”.

La Policía Nacional alertó también de esta práctica en su cuenta de Twitter el año pasado:

“Cuánto más complejo es el dispositivo que gestiona este tipo de sistemas, más vulnerable es esto”, añade. Se refiere a que si hay un sistema informático de análisis muy complejo gestionando una gran cantidad de datos sistemáticamente, habrá más posibilidades de encontrar una brecha en todo ese proceso e infectarlo con un virus. Y que luego podría pasarse a nuestro teléfono u ordenador.

Frente a esos posibles y pequeños ciberataques, organizaciones internacionales de distintos ámbitos -desde firmas de ciberseguridad a agencias institucionales- alertan de los riesgos que conlleva y por ello recomiendan no hacer uso de los terminales.

Es mejor tratar de llevar con nosotros siempre el cargador para conectar un móvil u ordenador en las últimas a la corriente eléctrica. También, tirar de baterías portátiles que podemos llevar en el bolso o mochila. Y si no nos queda más remedio que enchufarlo a uno de estos accesos, que sea utilizando un adaptador ‘data blocker’ -apodado “preservativo” para USB-, que es un aparatito que se enchufa al cable y deja pasar solo la alimentación y no los datos.

Otro punto a tener en cuenta: este sistema no es la única vía por la que se puede infectar un teléfono móvil. Por ello, el Centro Criptológico Nacional señala en esta publicación diez claves para mantener un dispositivo protegido frente a las ciberamenazas, entre las que incluye no conectar el dispositivo móvil a puestos USB desconocidos. 

Uso la misma contraseña desde hace años: ¿cómo hago para reforzar mis contraseñas y no olvidarme de ellas?

La solución está en los gestores de contraseñas. Son aplicaciones que actúan como una especie de caja fuerte digital que guarda bajo llave todas las contraseñas de todos los servicios online que uses para así dejar de reutilizar las claves una y otra vez y de hacerlas tan simples que no garanticen tu seguridad. Básicamente, sirven para desterrar los “12345678”, las fechas de cumpleaños, los nombres de mascotas o de los hijos y las películas favoritas de las contraseñas habituales (sí, tú también lo has hecho).

Según cuál elijas, puedes usarlo en el ordenador, en el móvil o ambos, ya que están disponibles como programa para el primero y en apps para el segundo. Hay que crearse una cuenta online y fijar una contraseña muy fuerte que te permita acceder al resto. Ahora te enseñamos algunos ejemplos.

Lo que hacen para almacenarlas de una forma segura es cifrarlas, de manera que sean ilegibles para otros programas y asocian cada una de las contraseñas a su servicio correspondiente (correo, red social, banco online,etc.). Además te recomienda claves robustas para que no te tengas que inventar una secuencia cualquiera.

No son herramientas nuevas ni mucho menos, pero cada vez las usa más gente. La Agencia por la Ciberseguridad de la Unión Europea recomienda su uso, sobre todo porque así utilizas una clave diferente para cada cuenta o página web.

Te dejamos algunas recomendaciones por si quieres ir a tiro hecho:

  • LastPass: es uno de los gestores de claves más conocidos. Lo puedes usar en el móvil, en el ordenador o en una tablet. La versión gratuita recoge prácticamente todas las funciones más básicas de almacenamiento, no sólo de contraseñas sino también de números de tarjetas de crédito (en caso de que también quieras guardarlas en tu dispositivo). Tiene una función de autocompletado que sirve para ambas cosas: contraseñas y números de tarjeta. Es decir, que si tú escribes los primeros números de tu tarjeta, la aplicación te rellena el resto. Además del generador de claves, también propone nombres de usuario para que no tengas el mismo en todas las páginas que uses, algo que tampoco es recomendable hacer.
  • Dashlane: es una aplicación enfocada a brindar el servicio pidiendo la menor cantidad de datos posible. También nos da la opción de elegir un “contacto de emergencia” que pueda acceder a nuestra cuenta por nosotros si fuera necesario y se compromete a avisarnos si detecta que datos personales han sido extraídos por un servidor ajeno. Está disponible para diferentes sistemas operativos: en el ordenador tendremos que descargar el programa y en un dispositivo pequeño como un móvil, la app. Para un solo dispositivo es gratuito, pero para utilizar en varios el precio es de poco más de tres euros al mes, como una suscripción.
  • 1Password: está diseñado para que no sólo guardes contraseñas sino también documentos y otras claves. Tiene una prueba gratuita de un mes y a partir de entonces pasa a costar tres dólares mensuales. Hay versión para todos los navegadores más conocidos.
  • KeePass: su diseño no es tan simple y cómodo como los otros tres, pero la particularidad que tiene este gestor es que es gratuito y de código abierto. Es también un poco más técnico, para aquellos que quieran una configuración de la seguridad más personalizada, ya que te permite elegir el tipo de cifrado. 

Liz Lemon Its In The Vault GIF from Lizlemon GIFs

Y recuerda: ¡de la única contraseña que sí que vas a tener que acordarte es la de entrada al propio gestor!  Una buena técnica para recordar contraseñas eficaces es elegir una frase de la que vayamos a acordarnos siempre y usar las iniciales de las palabras. Por ejemplo: “El pasado 8 de febrero vi a Rosalía en concierto”, que podría convertirse en “Ep8d2vaRec”. Cuanto más largas y aleatorias, mejor.

Los gestores de contraseñas también pueden sufrir ataques diseñados para romper sus códigos y extraer información que contengan, pero sus prestaciones de seguridad están basadas en un cifrado muy fuerte y están preparados para cerrar brechas rápidamente.

¿Qué es un ‘sandbox’?

Recientemente, el Ministerio de Asuntos Económicos y Transformación Digital ha anunciado que pondrá a punto un ‘sandbox’ para poner a prueba productos y servicios financieros. ¿Qué rayos significa eso? ¿Una caja de arena en la que se probará nueva tecnología? Bueno, no exactamente, aunque su nombre en inglés signifique eso. Esta semana traemos las definiciones de nuestro glosario tecnológico y te explicamos lo que es un ‘sandbox’.

Pensad en una isla desierta, apartada de cualquier península, donde se pudieran hacer pruebas con misiles sin límites. Un sitio al que nadie puede acceder sin el permiso del país que hace las pruebas. Ahora traslada esa isla al campo digital: un entorno controlado donde las compañías tecnológicas y otras instituciones pueden probar nuevos productos sin tener que lanzarlas necesariamente al mercado. Eso es un ‘sandbox’.

via GIPHY

Hay distintos tipos: en el campo de la tecnología se puede utilizar para probar el sistema de un robot nuevo, por ejemplo, y también se usa para experimentar con cómo afectaría una ley concreta en un ámbito como la economía y cómo afectaría a los mercados. Ese es el tipo del que hablaba el Gobierno la semana pasada cuando anunció su creación.

Se crean y utilizan principalmente por seguridad, para poder probar bajo supervisión un sistema o un producto concreto que podría alterar estructuras financieras o informáticas. Pero también porque hay veces en las que lo que se está probando es un servicio tan nuevo que todavía no hay leyes que lo regulen.

La Fundación Cotec explica en este vídeo con un ejemplo ficticio por qué se decide crear esta “sala de experimentos” y para qué se puede utilizar:

Y antes de iros... 

Esperamos que te hayan servido las primeras preguntas de nuestro consultorio tecnológico. Te recordamos que para que siga funcionando, ¡te necesitamos! Envíanos tus preguntas y todo aquello que te suene raro o inverosímil a nuestro perfil de Twitter (@malditatech), a nuestro Facebook, al correo electrónico [email protected] o a nuestro servicio de WhatsApp en el 655 198 538.

Nosotros no somos técnicos o ingenieros, pero contamos con mucha ayuda de personas que son expertas en su campo para resolver vuestras dudas. Porque definitivamente, juntos y juntas es más difícil que nos la cuelen.

Otros artículos de Maldita.es