By La seguridad digital es un aspecto muy importante que todas las personas deben cuidar, en particular quienes trabajan con información y datos sensibles, como los periodistas. Por eso, FOPEA le consultó a su socio Juan Manuel Lucero, especialista en Marketing Digital, Comunicación Digital y Estrategia en Redes Sociales, además de columnista de Tecnología en televisión y radio cómo evitar hackeos y ataques cibernéticos. ¡A tomar nota!
-¿Qué tipos de ataques cibernéticos puede sufrir un sitio periodístico?
En mi experiencia profesional los ataques más comunes son los denominados de “Denegación de Servicio” o DDoS (Denial of Service). Estos ataques son muy fáciles de originar: Desde cientos de computadoras se accede (automáticamente) a una página web, y debido a que el servidor no puede responder a tantos “pedidos”, se estresa y se “cae”, es decir, deja de funcionar, por un tiempo. Un ataque de este tipo puede ser “comprado” en foros específicos, desde unos 5 USD. Dependiendo de la magnitud y duración del mismo, el valor se acrecienta. Cualquier persona puede “comprar” un ataque de este tipo a cualquier web. Periodística, gubernamental, del tercer sector.
El segundo tipo de ataques consiste en “inyectar” código dentro de un sitio web: hay “scripts” o programas informáticos muy simples que van buscando vulnerabilidades de manera automática. En los javascripts, en las versiones de WordPress o en otros CMSs sin actualizar, siempre hay “agujeros” de seguridad. Estos “agujeros” son algo como esto: Un sitio tiene un javascript que le permite mostrar una secuencia de imágenes con una determinada animación. Ese código, alguien con conocimientos, detecta que tiene ciertas fallas y que si uno lo ejecuta de otro modo permite meter algo en el sitio web o en la base de datos. Esto se generaliza y alguien, a su script le agrega buscar estos archivos. Esto no conlleva casi esfuerzo humano (como en caso del ataque de DDoS que comenté la semana pasada) y es realizado de manera automática.
El script detecta ese javascript (que viejo significa que puede estar 2 semanas desactualizado) y automáticamente “inyecta” (mete, en el lenguaje técnico) un pedazo de código dentro del sitio, que le da acceso bien a administrar o a meter contenido, como en este caso (puede que haya sido este caso o no lo tomo como ejemplo). Y así con cientos de sitios a la vez. Sitios de noticias, sitios personales, sitios de empresas, todos a la vez.
Y el último y más simple consiste en un “ataque de fuerza bruta”. Este ataque consiste en ir probando (de manera automatizada) distintas combinaciones de letras o palabras para intentar “adivinar” una contraseña. Al lograrlo, tienen acceso de administrador y pueden bien editar las publicaciones o añadir códigos que permitan mostrar publicidad de quienes lograron hackear el sitio y así ganar más dinero, o también, meter un código malicioso que “infecte” a quienes navegan por el sitio.
-¿Qué medidas puede tomar un sitio periodístico para no sufrir ataques cibernéticos?
Para evitar los ataques de DDoS que describíamos antes, lo aconsejable es utilizar servicios que protejan a un sitio de este tipo de ataques. Lo que se le suele llamar un “firewall”, es decir, un muro que proteja contra estos ataques. Hay de mucho tipo pero menciono dos de los más destacados y que no tienen costo para los medios (eso si: hay que aplicar y ver si se acepta el sitio para poder usar el servicio).
Cloudfare es uno de ellos, con un plan gratuito para sitios webs personales y blogs, y planes desde USD 20 para planes profesionales. Desde acá se accede al plan gratuito.
Project Shield utiliza la tecnología que protege a Google y lo pone a disposición de medios de comunicación de todo tipo y tamaño así como para organizaciones de derechos humanos o sitios que sufran censura por el tipo de información que publican, y lo hace de manera gratuita. Desde acá (al final de la página) se puede aplicar para el servicio.
Para evitar la “inyección de código” hay que mantener siempre actualizado el CMS, ya sea WordPress (el más común), Joomla o Drupal.
Para WordPress hay un plugin llamado Wordfence (que puede buscarse desde el administrador de plugins una vez te has logueado como admin) y básicamente, ofrece decenas de mejoras en la protección de un sitio y que ante cualquier eventualidad o problema te avisa por email. Configurarlo toma algunos minutos (sugiero dejarlo en modo “aprendizaje” por una semana para que vea los patrones de tráfico y en función de ello tome decisiones como a que IPs bloquear y a cuáles no) y requiere de un mínimo conocimiento de seguridad, pero cualquiera puede hacerlo. Tiene una versión premium para aquellos que les interese (USD 8 por mes en adelante).
Y para evitar el ataque de fuerza bruta, lo mejor es crear una contraseña segura. Si no se sabe como hacer una contraseña segura, hay cientos de sitios que pueden crearla de manera gratuita. Incluso WordPress sugiere contraseñas seguras desde el administrador.
-¿Cuáles son las principales medidas que deberían tomar los periodistas para proteger sus datos y su privacidad?
- Crear contraseñas seguras: debe tener al menos mayúsculas, minúsculas, un número y un símbolo
- No repetir las contraseñas en distintos sitios (al menos no en la cuenta principal de email y las redes sociales más importantes).
- Activar la Doble verificación de seguridad: esto puede hacerse en los principales proveedores de correo como Gmail y en las redes sociales. Y consiste básicamente, en agregar nuestro número de celular como una capa extra de protección para nuestra cuenta. Al intentar una persona, que ha obtenido nuestra contraseña de alguna manera, ingresar, le va a pedir 4 dígitos extra que tiene que haber enviado a nuestro celular. Es decir que alguien que aún sabiendo nuestra contraseña, si tenemos activada esta opción no podrá entrar sin esos datos enviados por SMS.
- Mejorar la seguridad en el celular: agregar un número (descartar el patrón por ser inseguro) de al menos 6 dígitos o la huella dactilar.
- No utilizar redes públicas: monitorear el tráfico de una red pública (un bar, un aeropuerto) no es demasiado difícil para quien sabe como hacerlo (se le denomina “sniffing”). Y cada cierto tiempo, las aplicaciones de nuestro celular envían esos datos mediante las redes. Así también, los emails que enviamos si no son encriptados puede ser leidos por una tercera persona.
- Desconfiar al máximo de los archivos adjuntos aunque vengan de fuentes de confianza. Descargarlos (sin abrirlos) y utilizar un sitio que permita verificar no tienen ningún virus, como Virus Total. Recordar que hay virus que una vez abiertos, infectan al resto de computadoras de una red.
- Para tratar de que la navegación (siempre que sea poaible) sea segura, instalar la extensión (para Chrome y Firefox) Https everywhere de la Electronic Frontier Foundation.
- Y si hay información que sea realmente importante (texto, fotos), guardarla en una computadora que no tenga ningún tipo de acceso externo a Internet o a la red interna de la empresa.
- Y último pero no menos importante, usar un antivirus. Y si, vale la pena pagar por un buen antivirus que nos proteja de cualquier tipo de amenaza.
-En cuanto a las redes sociales, ¿qué deben hacer los periodistas para evitar hackeos?
Sugeriría básicamente lo visto en el punto anterior. Y le sumaría:
No publicar fotos o datos que puedan llevar a conocer el lugar donde uno está (si estamos de vacaciones o si estamos en el lugar de los hechos y al saberse donde estamos corramos peligro). Limitar al mínimo la exposición pública de seres queridos y amigos y proteger esas publicaciones para quienes sean “realmente” nuestros amigos.
Desactivar la ubicación de las publicaciones.
Ser muy cuidadoso con las conversaciones que se pueden tener con fuentes a través de las redes: Hay que verificar varias veces si quien está del otro lado es quien dice ser ( y no ha sido por ejemplo, hackeado).
¿Qué podés hacer vos y podría haber hecho la Ministra @PatoBullrich para evitar le hackearan la cuenta de Twitter? Toma 60 segundos: pic.twitter.com/2Rk8PT5pUF
— Juan Manuel Lucero (@jmlucero) 26 de enero de 2017
