21 noviembre 2024

Apple y brechas de seguridad, tapar la cámara del ordenador y extensiones de páginas web

¡Hola, malditas y malditos! Llegan el verano y para algunos el inicio de las vacaciones, ¡pero el consultorio tecnológico no descansa! En la edición de esta semana resolvemos varias preguntas relacionadas con la privacidad: cómo funciona el sistema de alertas de contraseñas comprometidas de Apple; qué hay de cierto en que nos pueden estar “espiando” a través de la cámara de nuestro ordenador; y qué diferencias hay entre las extensiones de las páginas web: ¿por qué no todas terminan en ‘.com’?

Queremos que nos mandéis todas las preguntas que os ronden la cabeza que tengan que ver con el mundo digital: podéis escribirnos al correo tecnologia@maldita.es, a nuestro Twitter, a Facebook, o si no a través de este sencillo formulario.

¿Por qué nos avisa Apple de que una de nuestras contraseñas ha aparecido en una filtración de datos?

Si eres usuario de algún dispositivo de Apple, puede que hayas recibido un aviso en los últimos meses de que una de tus contraseñas ha aparecido en una filtración de datos. Desde que empezó a funcionar el sistema operativo iOS 14 en noviembre de 2020, todos los aparatos diseñados por la multinacional permiten activar la casilla ‘Detectar contraseñas en peligro’, una opción que te notifica cada vez que una de tus claves se expone públicamente en una filtración masiva de datos.

La aplicación trabaja con el Llavero de iCloud. Para los que no estéis familiarizados con esta herramienta, se trata de un gestor de contraseñas, una gran caja fuerte alojada en los servidores de Apple que hace las veces de perro guardián para crear contraseñas aleatorias y fuertes, almacenarlas e impedir que terceras personas accedan a ellas.

Captura de pantalla del menú de detección de contraseñas en peligro de Apple.

¿Y cómo funciona este sistema de avisos? El proceso es fácil. Safari, el navegador predeterminado de los dispositivos de Apple, comprueba periódicamente que las claves que has almacenado en tu Llavero no se hayan visto afectadas por una de estas filtraciones masivas, que como ya hemos visto pueden tener su origen en lugares muy diversos: gigantes como Facebook, redes sociales de búsqueda de empleo como LinkedIn o bases de datos de clientes, como ocurrió con Phone House.

Apple explica en su página web que este proceso de rastreo “utiliza técnicas criptográficas seguras y confidenciales para comparar periódicamente las derivaciones de tus contraseñas con una lista pública de claves expuestas”.

Tú mismo puedes tratar de buscar en distintas filtraciones en las que hayas podido aparecer. En más de una ocasión ya te hemos recomendado “Have I Been Pwned”, una web que va acumulando las distintas brechas de seguridad que se han hecho públicas y que te dice en cuántas de ellas has sido víctima facilitando el email o el número de teléfono.

Volviendo al servicio de Apple, en caso de que la compañía detecte “que tu contraseña podría usarse de forma fraudulenta, recibirás una notificación en el dispositivo”. Activar este aviso automático es bastante fácil. Tan solo tienes que seguir la siguiente ruta en tu dispositivo “Configuración” > “Contraseñas” > “Recomendaciones de seguridad” y, ahí, activar la opción Detectar contraseñas en peligro.

Pasos para configurar la función «Detectar contraseñas en peligro» de Apple.

La solución a la brecha de seguridad es, generalmente, cambiar las claves afectadas por otras más robustas y con más cantidad de caracteres especiales, mayúsculas y números. Cuando más rara, larga y compleja, mejor. En este artículo repasamos qué pasos hay que seguir si los datos expuestos son más sensibles, como por ejemplo información bancaria.

¿Es cierto que por el ojo de la cámara del ordenador te pueden estar espiando? ¿Hay que taparla?

La respuesta corta es sí, es conveniente tapar la cámara del portátil cuando no la estés utilizando. Aunque pueda parecer una medida algo paranoica que no viene a cuento, hacerlo puede evitarnos alguna que otra mala pasada y en el mundo de la ciberseguridad vale más andar con pies de plomo y protegerse que lamentarse a toro pasado. Te explicamos a qué nos referimos.

Nuestra maldita Paula González, experta en ciberseguridad y jefa de Auditoría en GMV, nos cede sus superpoderes para explicarnos por qué es conveniente esta medida básica de protección en el mundo digital: “La cámara del portátil se activa y desactiva por software. Cuando un ciberdelincuente consigue acceder a tu ordenador puede subir muchos tipos de software malicioso que, entre otras cosas, pueden activar la cámara y capturar las imágenes y el sonido de manera remota”.

El peligro, tal y como explica nuestra maldita, es que algún ciberdelincuente pueda acceder a tu ordenador y tomar el control de la cámara y el micrófono sin que te des cuenta. De esta forma podrían grabarte en tu día a día y obtener imágenes o información delicada que posteriormente podrían utilizar para extorsionarte.

Con el paso de los años, muchas marcas han optado por incorporar pequeñas bombillas o leds junto a la cámara que se encienden durante la grabación. Esta puede ser una buena pista para saber si se está usando en un momento en el que no debería. También, firmas como Apple han incorporado funciones para que tu iPhone te avise si una de las aplicaciones que tienes instaladas está usando la cámara en segundo plano

De todas formas, esta luz no es ni mucho menos infalible. Ya en 2013, investigadores de la universidad estadounidense Johns Hopkins publicaron una investigación en la que se demostraba que era relativamente fácil desactivar el led para continuar grabando de una forma indetectable para el usuario.

James Comey, que estuvo al frente del FBI de 2013 a 2017, ya avisó a la ciudadanía de que actos como tapar la webcam “es una de las cosas sensatas que deberías estar haciendo”, según recogió en este artículo el diario británico The Independent

“Si entras en cualquier oficina gubernamental, todos tenemos esas pequeñas cámaras que se colocan encima de la pantalla. Todas tienen una pequeña tapa que se cierra sobre ellas. Lo haces para que la gente que no tiene autorización no te mire. Creo que es algo bueno», afirmó Comey.

¿Y en el entorno laboral? Pues más de lo mismo. En esta guía para videoconferencias del Instituto Nacional de Ciberseguridad (INCIBE) se dan varias claves para evitar que los delincuentes se cuelen a través de herramientas del trabajo, un peligro que hemos tenido muy presente en los últimos meses con los ataques ransomware.

Una de ellas es “cubrir la cámara cuando el sistema no está en uso y configurarla para que, al comenzar una videoconferencia, se muestre una imagen neutra que no enseñe información comprometida, en caso de establecer una conexión errónea”.

También resulta importante desactivar el acceso a la cámara o a la compartición de pantalla por defecto. Es decir, que el ordenador entre de forma automática a emitir vídeo cuando un programa como Zoom o Google Meet lo requiera. Aunque la mayoría de sistemas operativos ya lo tienen por defecto, es muy recomendable establecer un sistema de avisos para que cuando un software quiera hacer uso de la cámara tú tengas que aceptarlo antes y no como norma general, sino preguntando siempre antes de acceder.

Con todo, esto no significa que a partir de ahora te tengas que volver loca pensando que cualquiera puede estar activando y desactivando la cámara de tu ordenador a su antojo, sino que seas consciente de que existen ciertas técnicas usadas por ciberdelincuentes para instalar un virus informático en tu dispositivo que pueda permitirles acceder a su contenido o controlarlo. De ahí que en Maldita Tecnología siempre te recomendemos practicar una higiene digital básica para preservar tu privacidad. Si tienes dudas al respecto, puedes escribirnos al correo tecnologia@maldita.es y trataremos de responderlas.

¿Qué diferencias hay para el usuario de internet visitar una página .com, .org, .edu o .eu? ¿Hay más o menos obligaciones de privacidad en función de la extensión? ¿Qué institución se encarga de dar luz verde a la creación de nuevas extensiones?

Aunque navegando en internet estamos muy acostumbrados a encontrar páginas acabadas en .es (en el caso de España), .com y .org, lo cierto es que el número de extensiones disponibles en internet es altísimo. Con extensiones nos referimos precisamente a ese código que cierra la dirección web de cualquier página.

Empezamos poniéndonos un poco técnicos. En realidad, el nombre preciso de estas extensiones es TLD, que viene del inglés top-level domain. O dominio de nivel superior, para entendernos. Estos TLD sirven como identificador de la página web a la que se quiere acceder y pueden estar acompañados de varios niveles más.

Pongamos un ejemplo rápido. En docs.google.com podemos observar tres niveles: el ‘com’, que es el nivel más alto; ‘google’, que es el nombre del dominio y está en el segundo nivel y ‘docs’, que se sitúa en el tercer nivel y también puede denominarse subdominio. Todos ellos configuran la ‘matrícula’ de la página web, un código identificable y que sólo hace referencia a un portal concreto.

Distintos elementos de una dirección web. Fuente: https://partesde.info/direccion-web/

La encargada de aprobar la creación de nuevas extensiones es la Autoridad de Asignación de Números de Internet (IANA, por sus siglas en inglés), una entidad que trabaja por la estandarización de varios elementos de la web. Entre ellos, los TLD. Si una organización o una empresa quiere crear el suyo, debe pasar antes por la IANA para que dé luz verde al proyecto. 

Ahora bien, ¿hay alguna diferencia a la hora de elegir extensiones? Según explica nuestro maldito Carlos Fernández Llamas, desarrollador de software y especialista en servicios web y privacidad, “técnicamente hablando, no hay ninguna diferencia”.

Ahora bien, puede haber condiciones concretas para acceder a una de estas extensiones. Nuestro maldito nos pone un ejemplo: “En los dominios .eus se tiene que hablar de la cultura vasca o haber contenido en euskera. Por tanto, si visitamos un dominio acabado en .eus, es muy probable que encontremos más contenido en euskera o sobre Euskadi. Cada dominio puede tener requisitos distintos y eso puede hacer que el contenido más habitual de las webs detrás de cada dominio pueda variar”.

Por tanto, es posible que si quieres registrar un dominio bajo una extensión concreta, la entidad que hay detrás de su registro te pida algunos requisitos. La ONG Educase, encargada de dar los permisos para utilizar el TLD .edu, marca unos cuantos requisitos mínimos para su uso. La primera y más básica, “ser una institución de educación superior reconocida y acreditada por el Departamento de Educación de EEUU”.

Más allá de estas condiciones de entrada específicas, Fernández Llamas explica que “bajo el capó, todos los llamados ‘nombres de dominio’ funcionan de la misma forma una vez son registrados, y el que un dominio sea .com, .org, o cualquier otro, no influye en la forma de interaccionar con él, ni siquiera para las tecnologías bajo el capó, y todavía menos para un usuario que visite dicha dirección web”.

Los peligros para la privacidad del usuario vienen con cómo se interactúa con el propio contenido de la web o de los servidores donde esté alojada, pero en este asunto la extensión ni pincha ni corta. José María de Fuentes, profesor titular de la Universidad Carlos III experto en Ciencias de la Computación y Ciberseguridad, afirma a Maldita.es que “no le consta” que haya diferencias en este sentido dependiendo del TLD que se elija.

Hay que tener en cuenta que no es necesario que una persona esté viviendo en España para registrar un dominio ‘.es’. Por tanto, los datos de una persona se podrían estar tratando desde otro país pese a que el dominio pueda dar a entender que se están gestionando en España. 

“En cambio, con el Reglamento General de Protección de Datos (RGPD) se consigue algo muy importante: da igual dónde esté radicado el que realiza el tratamiento de datos personales, que deberá cumplir sus requisitos siempre que trate con información de un ciudadano europeo”, añade De Fuentes.

Y oye, ¿yo como particular puedo intentar crear mi propia extensión? Como particular no, pero el proceso está abierto a cualquier “organización pública o privada que demuestre la capacidad operativa, técnica y financiera para gestionar un registro”. En este portal web tienes los detalles en caso de que quieras ir a la aventura de registrarlo.

Antes de que os vayáis…

No somos técnicos o ingenieros pero contamos con mucha ayuda de personas que son expertas en su campo para resolver vuestras dudas. Tampoco podemos deciros qué servicio usar o dejar de usar, solo os informamos para que luego decidáis cuál queréis usar y cómo. Porque definitivamente, juntos y juntas es más difícil que nos la cuelen.

Si tenéis cualquier duda sobre esta información o cualquier otra relacionada con la manera de la que te relacionas con todo lo digital, háznosla llegar:

En este artículo han colaborado con sus superpoderes l@s maldit@s Paula González y Carlos Fernández Llamas.

Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de Whatsapp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.