¡Buenas, malditas y malditos! Una semana más acudimos fieles a nuestra cita tecnológica de los martes para responder a vuestras dudas relacionadas con el mundo digital. Hoy tenemos más preguntas sobre ciberseguridad veraniega, como si es seguro conectar nuestro móvil al sistema de aplicaciones de un coche de alquiler. También os explicamos cómo podemos cifrar un archivo en nuestros dispositivos para hacerlo más seguro y por qué se dice que las criptomonedas son imposibles de rastrear.
¿Tienes más dudas similares? Pues no olvides enviárnoslas para que podamos resolverals en las siguientes entregas del consultorio tecnológico: a nuestro Twitter o a nuestro chatbot de WhatsApp (+34 644 229 319), rellenando este sencillo formulario o mandando un mensaje al correo [email protected]. ¡Empezamos!
¿Es seguro conectar nuestro teléfono móvil a un coche de alquiler?
Ya os hemos contado cómo debemos protegernos para tener unas vacaciones de verano ciberseguras, con pasos desde qué hacer antes de salir de casa hasta una vez que se llega a destino. Hoy vamos un poco más allá y ahondamos en una de las preguntas que nos habéis hecho: cuando alquilo un coche, ¿es seguro conectar el móvil para usar el GPS, Spotify o simplemente llamar por teléfono? La respuesta rápida es que en gran medida sí, pero siempre y cuando tomemos ciertas precauciones. Vamos con ellas antes de arrancar el motor.
Lo primero es decidir para qué queremos conectar el teléfono y dar los permisos justos y necesarios para que funcione la aplicación que hayamos elegido, y así minimizar riesgos. Por ejemplo, entendemos que si vas a conducir por carreteras desconocidas, hoy en día es imprescindible usar el navegador para saber por dónde ir (ojo, que también puedes usarlo directamente en tu móvil). También puede que queramos disfrutar de esa lista de reproducción especial roadtrip que hemos preparado con tanto cariño. Daremos entonces permisos de acceso a estas aplicaciones y a otros como el micrófono, por ejemplo, pero si no vamos a utilizarlo para hacer llamadas y podemos esperar o tirar directamente del móvil, no será necesario dar acceso a la agenda de contactos.
¿Por qué hay que extremar las precauciones con los datos que compartimos? Ahí está la clave: puede ser peligroso que información confidencial sobre nuestros contactos o localizaciones sobre dónde hemos estado caiga en las manos equivocadas. “Cuando dejas el coche de alquiler, si no te has ocupado de eliminar tus datos, esa lista de contactos va a quedar almacenada de manera que los próximos usuarios van a poder acceder”, afirma Marco Lozano, responsable de ciberseguridad para empresas en el INCIBE.
Por eso, esta es una de las recomendaciones más importantes: cuando llegue el momento de devolver el coche de alquiler, asegúrate de que has borrado todos los datos que hayas podido dejar almacenados. Para ello, podemos entrar al navegador del coche, buscar la lista de dispositivos vinculados y eliminar nuestro teléfono. Una vez realizado esto, es importante comprobar que no hay datos guardados: ni nuestros contactos, ni llamadas, ni mensajes. En este caso, cada modelo y cada marca tendrá su propia configuración, como vemos en estos ejemplos de Volvo y Toyota, por lo que será conveniente que echemos un ojo a las instrucciones de cada uno.
Ya hemos decidido qué datos vamos a compartir y nos hemos grabado a fuego que, cuando dejemos el coche, lo más conveniente es borrarlos. Ahora llega el momento de realizar la conexión. Para conectarnos, principalmente hay cuatro puertas de entrada: USB, Bluetooth, wifi y las plataformas Android Auto o CarPlay de Apple.
“La manera más segura es conectarlo vía USB con un cable propio. Después, con Bluetooth. La gente suele preferir el wifi, pero este está sujeto a todos los problemas que pueda entrañar ese protocolo y a los mismos riesgos a nivel de conectividad”, dice Lozano.
En el caso de las aplicaciones Android Auto o CarPlay de Apple, el experto del INCIBE señala que podrían conllevar los peligros que afectan a cualquier aplicación; es decir, si en su desarrollo hay un problema de seguridad o vulnerabilidades, podría afectar al dispositivo. Pero, por norma general, “en principio no debería haber inconveniente ya que estas aplicaciones son como una interfaz puente entre tu dispositivo móvil y el coche. Si lo quitas del coche, la interfaz se desvincula del móvil”.
Para entendernos, es como si Android Auto y CarPlay actuaran como una extensión de tu teléfono, como un espejo, sin tener que sincronizar los datos con el propio navegador del coche. “Se puede considerar una práctica segura”, concluye Lozano.
Para que todo funcione correctamente y sin riesgos, eso sí, debemos tener en cuenta lo que con el uso de cualquier aplicación: comprobar que es la plataforma oficial, tener la versión del software más actualizada posible y comprobar que no ha sido manipulada.
A lo mejor, llegados a este punto, puede parecernos raro pensar que un coche puede sufrir un ataque informático pero, como define Hugo Álvarez, responsable de la empresa de ciberseguridad Perception Point, “desde hace diez años hasta ahora, un coche es un software sobre ruedas, y por tanto son vulnerables a ataques de ciberseguridad”. El experto cree que, aunque los fabricantes están trabajando en ello, los vehículos aún necesitan más protección.
¿Sería posible hackear con malas intenciones un coche? Sí, y además, en ambos sentidos. “Si la aplicación del coche ha sido manipulada podría recoger datos de tu dispositivo, y también a la inversa: puede haber aplicaciones que haya en el móvil que se aprovechen de información que tenga el coche”, dice Lozano, del INCIBE.
Por eso y, en general, Álvarez, de Perception Point, resume: “Cuantos menos accesos y permisos le demos a los sistemas de infoentretenimiento, mejor. Si lo hacemos, además de comprobar que no se han quedado datos en la memoria del coche, no estaría de más cambiar la contraseña de Spotify o de las apps con las que hayamos entrado, igual que haríamos si abrimos nuestra cuenta de Netflix en la televisión de un hotel o Airbnb”.
Otra recomendación general es que si queremos hacer uso del coche como cargador para móvil o tablet, es mejor usar el típico adaptador del mechero que conectarlo a través de USB. Así, ahorraremos riesgos de posibles transferencias de datos.
¿Qué significa cifrar un archivo y cómo hacerlo en una carpeta en el ordenador o en el móvil?
Desde Maldita.es os hemos recomendado muchas veces que una forma imprescindible de securizar archivos y carpetas de nuestros móviles y ordenadores es cifrándolos. Es decir, volver la información ilegible de manera directa, para que solo la pueda consultar quien tenga la “llave” para hacerlo. Esto es algo que podemos hacer por nuestra cuenta, así que os dejamos aquí una guía práctica para cada escenario.
Empecemos por el principio. ¿Es importante y recomendable cifrar nuestros datos y archivos? “Sí, siempre y cuando los datos sean importantes para ti”, responde Ana Navarro, ingeniera informática y maldita que nos ha prestado sus superpoderes. Y no solamente porque puedan estar en tu casa, esperando a que llegue alguien a intentar acceder a ellos, “es interesante cifrar los archivos sobre todo si perdemos el dispositivo”. Que levante la mano quien no ha perdido un teléfono móvil o un pendrive. También es imprescindible si guardamos datos personales de otras personas, como vimos en este artículo.
Hay dos tipos de cifrado: se pueden cifrar archivos y carpetas individualmente, y así estaremos protegiendo una parte de la información que podemos tener en un disco duro o en la nube, o se puede cifrar todo el dispositivo de almacenamiento, como un disco duro en el que tengamos una copia de seguridad de nuestros archivos.
Primero, el dispositivo que más a mano tenemos y con el que hacemos todo, el móvil (en tablet funciona igual). Aquí no deberíamos preocuparnos mucho, porque la opción de cifrar está activada por defecto en los sistemas operativos móviles iPhone y Android. En ambos casos, eso sí, la clave está, nunca mejor dicho, en el PIN.
“En Apple (iOS/iPadOS/WatchOS) se cifra el dispositivo por defecto siempre que tengas un PIN. Esto es así desde hace muchísimos años y por eso te obliga a poner el PIN al encender el aparato y no es suficiente el reconocimiento facial ni de huella. Si usas Apple Pay esto ya está sucediendo”, detalla Santiago Saavedra, ingeniero informático y cofundador de IUVIA y Trackula.
En Android hay un poco menos de seguridad, porque “se cifra el móvil por defecto siempre que tengas un PIN, pero a veces la clave de cifrado es 0000 o ‘default’ y no el PIN o la clave del usuario, aunque esto depende del fabricante y de la versión de Android (en móviles nuevos esto no debería de ser ya así)”, añade Saavedra, aunque el usuario no puede tener confirmación ni forma de saberlo.
Vamos con el ordenador, una caja repleta de información a la que no siempre podemos ponerle el adjetivo de caja fuerte. Y es que aquí sí que hay que activar la opción de cifrado tanto en Microsoft, en algunos ordenadores macOS y en Linux. Saavedra se hacía eco de un ejemplo muy visual en Twitter si no ciframos, que muestra un disco recién formateado que no estaba cifrado a nivel de bloque. Sorpresa: ahí quedaban más de 13 gigas de archivos.
Eso es un disco recién formateado que no estaba cifrado a nivel de bloque. Cifrad vuestros discos ANTES de empezar a usar vuestros ordenadores.
— Santiago Saavedra (@ssice) December 31, 2020
Mini-hilo 👇 https://t.co/Zoa0XJz30I
Manos a la obra. Cómo hacerlo dependerá del sistema operativo: en algunos dispositivos ya vienen los programas y aplicaciones instalados por defecto para poder hacerlo, pero también se puede hacer con aplicaciones externas y gratuitas.
En Windows (salvo en Windows 10 Home), viene instalada la aplicación BitLocker, que permite cifrar de forma bastante cómoda y sencilla. Solo hay que seguir los pasos que dicte el asistente. Para llegar hasta él, vamos al Panel de control, Sistema y seguridad y Cifrado de unidad BitLocker. En este artículo de la Oficina de Seguridad del Internauta se explica cómo hacerlo para USB y discos duros.
Además de ese cifrado estándar, en Windows 10 y 11 hay otra formas de cifrar el disco completo, “dependiendo del dispositivo y de si tiene un TPM [módulo de plataforma de confianza] compatible con Windows o no”, especifica Saavedra. Si el TPM es compatible con la función de cifrar de Windows, “aparecerá un botón en la aplicación Ajustes en el apartado Sistema que tendrá un botón para habilitarlo o deshabilitarlo”.
En Mac, MacOS tiene una capacidad llamada FileVault pero viene deshabilitada por defecto, incluso en equipos nuevos, según indica Saavedra. Para habilitarla, nos da los pasos: Preferencias del Sistema > Seguridad y privacidad > FileVault y pulsar en Activar. Ahí, pedirá una contraseña de recuperación por si perdemos el acceso a la contraseña, que además será la manera de poder descifrar los datos.
En Linux, Saavedra recomienda utilizar LUKS (Linux Unified Key Setup) que cifra el disco completo con una única clave, aunque hay otras opciones para usuarios que quieran investigar más. “Por ejemplo, en Ubuntu existe una experiencia que permite cifrar solo una carpeta ‘Private’ dentro de la carpeta personal, utilizando una cosa llamada ecryptfs”, explica el experto. También, para usuarios más avanzados, está dm-crypt y systemd-homed. Navarro, por su parte, recomienda la herramienta de código abierto GnuPG. Habría que instalarla y usarla llamando al programa.
Por otro lado, no nos olvidemos de los archivos que guardamos de manera online. En este artículo, Jorge Louzao, experto en ciberseguridad y maldito, nos recomendaba la aplicación Cryptomator, una opción de software libre con la que podemos cifrar los archivos y sincronizarlos entre dispositivos a través de la nube de manera segura. En este artículo de la Oficina de Seguridad del Internauta tienes los pasos detallados.
Recuerda que para todo lo que cifres, se requerirá después una contraseña de acceso. Te recomendamos que uses algún gestor de contraseñas para guardarla porque no hay manera de recuperar la contraseña que creemos, y nos puede salir el tiro de la protección por la culata.
Por su parte, Microsoft ofrece una manera de subir una copia de la clave de seguridad de cifrado a sus servidores. “Si el usuario ha iniciado sesión autenticándose con una Cuenta Microsoft, a cambio de que Microsoft tenga la capacidad de descifrar su disco, puede tener la tranquilidad de poder perder acceso a la clave y recuperar los archivos en el futuro si tiene la capacidad de acceder a su cuenta Microsoft”, explica Saavedra.
¿Es cierto que las transacciones con criptomonedas son irrastreables?
En otra ocasión, nos habéis preguntado qué podemos hacer si alguien que busca estafarnos nos pide completar un pago usando criptomonedas y si podemos recuperarlas de alguna manera. Una de las razones por las que se complica el pedir responsabilidades y cazar a los ciberestafadores es el que las operaciones con criptoactivos sean tan difíciles de seguir el rastro una vez pasan de una wallet (cartera) a otra. ¿Por qué pasa esto? ¿Es cierto que es imposible de seguir la pista una vez hacemos una operación con una criptomoneda u otro tipo de activo del mundo cripto? Este es un ámbito cada vez más cambiante, por lo que la respuesta no es un blanco o negro, pero vamos a poner en claro lo que sabemos sobre su funcionamiento.
Las criptomonedas funcionan gracias a una tecnología que decimos que es descentralizada, porque no está controlada por una entidad específica o una empresa. Una de estas tecnologías es el blockchain o cadena de bloques, que, como hemos explicado antes, forma parte de las llamadas “tecnologías de registro distribuido” (DLT, por sus siglas en inglés). Esto significa que es un sistema que gestionan los propios usuarios que la utilizan y no un banco o empresa financiera. Cada criptomoneda usa una cadena de bloques, pero tampoco es que se pueda usar para identificar a quienes operan con ella.
“Desde la perspectiva fiscal, hay dos grandes retos referentes a seguir el rastro de las criptomonedas: el primero, que es verdad que son un activo en evolución constante y que los usuarios que las utilizan pueden permanecer en el anonimato, por lo que es muy difícil localizar la jurisdicción desde la que operan”, señala a Maldita.es Paula Gámez, abogada especializada en fiscalidad de criptomonedas en Ceca Magán. “Por otro lado, el qué estén basadas en una DLT y las operaciones se realicen online las hacen difíciles de detectar, porque no hace falta que haya un administrador que centralice estas transacciones”, aclara.
Estos se supone que son los puntos fuertes de las criptomonedas, el que no precisen de un intermediario que nos obliga a identificarnos y que las transacciones puedan hacerse de forma digital y entre usuarios directamente. Pero a la vez son características que dificultan el identificar a la persona que las envía o las recibe en caso de fraude o blanqueo, por eso se busca modificarlas a base de regulación.
Por otro lado, está el hecho de que existen actores cuyo objetivo es precisamente ayudar a que las operaciones sean tan difíciles de rastrear. Según explica la empresa de ciberseguridad ESET en esta publicación, los ciberdelincuentes han empezado a buscar formas de mejorar ese anonimato (o pseudoanonimato) para blanquear los criptoactivos cuando proceden de actividades delictivas y uno de estos métodos son los llamados “mezcladores” de criptomonedas.
“A medida que la tecnología avanza, también lo hacen los métodos utilizados por los delincuentes para intentar blanquear el producto de su actividad ilícita. Aquí es donde entran en juego las criptomonedas y algunos servicios de criptografía especializados, ya que atienden no sólo a las personas que prefieren el anonimato por razones legítimas, sino también a las que buscan blanquear su dinero ganado de forma ilícita y cubrir sus huellas”, explica Josep Albors, Director de Investigación y Concienciación de ESET España, en esta publicación.
Los mezcladores de criptos se definen literalmente con este concepto: su objetivo consiste en “mezclar” sus criptoactivos con los de otros usuarios muchas veces y mediante diferentes y numerosas operaciones para que no se pueda llegar a rastrear ni el origen ni el destino real de los activos, tal y como explica ESET. El problema con esta práctica es que en algunos lugares no se considera una práctica ilegal y se vende como un servicio que mejora la privacidad de las transacciones, cuando en realidad se podría estar usando para blanquear las actividades.
“Mucha gente puede pensar que utilizando criptomonedas como el Bitcoin, la criptodivisa más popular, no podrán ser rastreados. Sin embargo, esta es una idea errónea. Aunque es cierto que rastrear una cartera de criptomonedas o una transacción hasta una persona o una dirección IP no siempre es sencillo, tampoco es imposible”, explica Albors.
Paula Gámez afirma que “se ha hablado de las operaciones con cripto como una especie de pseudoparaíso fiscal, pero se quiere atacar porque son activos globales”. ¿Cuál es la propuesta para evitar perderle el rastro a estas operaciones? El obligar a los usuarios a declarar cierta información, de modo que ese rastreo no se vuelva un imposible.
Desde la Organización para la Cooperación y el Desarrollo Económico (OCDE) se trabaja actualmente, según la especialista, para definir sobre qué criptoactivo será obligatorio informar, ya que es necesario “involucrar a las distintas administraciones tributarias de las jurisdicciones de la OCDE para que tengan una definición común de criptoactivo y de a quién hay que pedir la información para que se intercambie entre todos los estados”.
A nivel europeo, la estela que se sigue es similar. La Directiva 2011/16 de la Unión Europea es la que busca regular cómo debe ser ese intercambio de información entre países. En España, la Ley 11/2021 de lucha contra el fraude fiscal (entra en vigor en 2023) establece obligaciones de información tanto a los exchangers (las plataformas de compraventa de criptomonedas) como a los wallets (las aplicaciones en las que se guardan los activos y se hacen las transacciones). “En el Impuesto sobre Patrimonio ya hay una casilla específica para informar sobre criptomonedas y los que tengan criptodivisas en el extranjero están obligados a declarararlas si superan 50.000 euros”, apunta Gámez.
También indica esta especialista que con este tipo de normas “el anonimato se va a ir diluyendo”, ya que las obligaciones son a nivel europeo y a los exchangers y wallets “no les va a quedar más remedio que identificar a los titulares de criptoactivos y a quiénes transfieren”.
En este sentido, apunta a algunas de las consultas que ya se han hecho a la Dirección General de Tributos sobre la venta de criptoactivos, y cuya resolución indica que hay que declarar las operaciones que se hagan con ellos. Por ejemplo, con los NFT (tokens no fungibles): una de estas consultas refleja que la venta de los NFT también están sujetos al IVA y que es la persona que lo vende quien es responsable de que se ingrese la cantidad correspondiente, independientemente de a quién se venda. Por ello, según apunta Gámez, sería necesario registrar algunos datos sobre la operación.
Y para terminar...
No somos técnicos o ingenieros pero contamos con mucha ayuda de personas que son expertas en su campo para resolver vuestras dudas. Tampoco podemos deciros qué servicio usar o dejar de usar, solo os informamos para que luego decidáis cuál queréis usar y cómo. Porque definitivamente, juntos y juntas es más difícil que nos la cuelen.
Si tenéis cualquier duda sobre esta información o cualquier otra relacionada con la manera de la que te relacionas con todo lo digital, háznosla llegar:
En este artículo ha colaborado con sus superpoderes la maldita Ana Navarro, ingeniera informática.
Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de Whatsapp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.