Categories
es

Las preguntas de seguridad son inseguras cómo proteger sus cuentas

Chris Hoffman es redactor jefe de How-To Geek. Lleva más de una década escribiendo sobre tecnología y fue columnista de PCWorld durante dos años. Chris ha escrito para The New York Times, ha sido entrevistado como experto en tecnología en canales de televisión como NBC 6 de Miami, y su trabajo ha sido cubierto por medios de noticias como la BBC. Desde 2011, Chris ha escrito más de 2.000 artículos que han sido leídos casi mil millones de veces, y eso solo aquí, en How-To Geek. Más información.

Todos sabemos que debemos crear contraseñas seguras. Pero, a pesar de todo el tiempo que pasamos preocupándonos por nuestras contraseñas, hay una puerta trasera en la que nunca pensamos. Las preguntas de seguridad suelen ser fáciles de adivinar y a menudo permiten eludir las contraseñas.

Afortunadamente, muchos servicios se están dando cuenta de que las preguntas de seguridad son muy inseguras y las están eliminando. Google y Microsoft ya no ofrecen preguntas de seguridad para sus cuentas; en su lugar, puedes recuperar una cuenta utilizando un número de teléfono asociado.

El “hackeo” de Palin

Esto no es sólo un problema teórico. La cuenta de correo electrónico de Sarah Palin en Yahoo! fue célebremente “hackeada” en el periodo previo a las elecciones de 2008. El “hacker” se limitó a utilizar la solicitud de restablecimiento de contraseña y respondió a su pregunta de seguridad. La pregunta era dónde conoció a su marido, y la respuesta – Wasilla High – era accesible con una rápida búsqueda en Google.

El problema de las preguntas de seguridad

Esto no es sólo un problema de Sarah Palin. Cuando creamos una cuenta, ya sea bancaria o de correo electrónico, a menudo se nos pide que hagamos una pregunta de seguridad. La mayoría de las veces, se nos proporciona una lista de preguntas sugeridas como “¿A qué instituto fue?” y “¿Cuál es el apellido de soltera de su madre?”. Algunos sitios web te permiten crear tu propia pregunta, pero muchos te obligan a elegir de su lista de preguntas sugeridas. Algunos sitios web te obligan a configurar varias preguntas y respuestas de seguridad, lo que significa que no puedes elegir una única respuesta fácil de recordar: tienes que elegir varias preguntas diferentes y recordar todas las respuestas.

El verdadero problema de las preguntas de seguridad es que las respuestas son muy obvias. Las respuestas a muchas preguntas de seguridad, desde “¿Cuál es tu cumpleaños?” a “¿A qué instituto fuiste?” son de dominio público, si alguien se molesta en buscarlas. Incluso pueden buscarlas en Google. Incluso si las respuestas no son ya de dominio público, la mayoría de la gente normal compartirá detalles como dónde conoció a su cónyuge y dónde fue al colegio en una conversación normal.

Preguntas de seguridad básicas

Si nunca has restablecido la contraseña de una cuenta, es posible que nunca tengas que ocuparte de tus propias preguntas de seguridad y que te olvides de ellas. A menudo puedes hacer clic en un enlace que dice que has olvidado tu contraseña y, si respondes correctamente a la pregunta de seguridad, se te da acceso a esa cuenta. De este modo, las preguntas de seguridad te permiten eludir tu contraseña. Tu cuenta ya no es tan segura como tu contraseña, es sólo un

No todos los servicios restablecerán tu cuenta y darán acceso a otra persona por el mero hecho de conocer la respuesta a tu pregunta de seguridad, pero algunos sí lo harán. Otros servicios utilizan preguntas de seguridad como parte de un proceso de autenticación que requerirá otra información personal.#%$t#Cómo elegir y responder a las preguntas de seguridad

Ten todo esto en cuenta a la hora de elegir preguntas y respuestas de seguridad. Elige algo que sea difícil de averiguar o adivinar para otras personas, no algo como a qué universidad fuiste.

La segunda alternativa es no responder a las preguntas de seguridad. Por ejemplo, si te dan la oportunidad de escribir tu propia pregunta de seguridad, puedes escribir algo como “¿Cuál es la respuesta?” o hacer referencia a un chiste que sólo tú conozcas. A continuación, puedes dar una respuesta que sea tan segura como la pregunta: tal vez tu par respuesta/pregunta sea algo así como “¿Cuál es la respuesta?”. “45D%po#Yih8d0Y$fgp(i34t”. Ahora ya tienes una segunda contraseña para tu cuenta: anótala en un lugar seguro o guárdala en un gestor de contraseñas como LastPass o KeePass para poder acceder a ella en caso de que la necesites. Con una respuesta como ésta, básicamente sólo tienes una segunda contraseña.

Ten en cuenta que tampoco tienes que responder a las preguntas con exactitud. Por ejemplo, si la pregunta es “¿Dónde diste tu primer beso?” y has vivido en Nueva York toda tu vida, probablemente no quieras poner Nueva York: es una respuesta muy obvia. Quizá tu respuesta sea “En un cráter de la Luna” u otra respuesta tonta que tú recordarás pero que a otras personas les costará más adivinar. Por supuesto, incluso esta respuesta es más obvia que una cadena aparentemente aleatoria. Puede que tu respuesta a “¿Dónde diste tu primer beso?” sea 9je7%5yry835#9reou&[email protected] Aunque te obliguen a utilizar una pregunta determinada, eres libre de introducir la respuesta que quieras siempre que puedas recordarla. Por supuesto, querrás mantener esta respuesta a salvo por si alguna vez necesitas proporcionarla en el futuro.

Las preguntas de seguridad son inseguras. Pero, aunque te obliguen a utilizarlas o te obliguen a utilizar una pregunta insegura, nunca estarás obligado a dar una respuesta exacta. Puedes introducir la respuesta que quieras siempre que puedas recordarla para más tarde. Haga lo que haga, asegúrese de que no está abriendo una puerta trasera que un atacante podría utilizar para saltarse su contraseña.

Cualquiera que haya entrado en el sitio web de una entidad financiera en los últimos años conoce el procedimiento. Introduzca un nombre de usuario, una contraseña y responda a una serie de preguntas, desde las más básicas (“¿Cuál es el apellido de soltera de su madre?”) hasta las más absurdas (“¿Cómo se llamaba su peluche favorito?”). Los bancos y las entidades emisoras de tarjetas de crédito utilizan esas preguntas como una capa adicional de seguridad para proteger sus cuentas y evitar el robo de identidad, pero resulta que no siempre son eficaces.

Algunas preguntas adolecen de la debilidad de ser fácilmente adivinables, como “¿De qué color son sus ojos?”. Otras, como “¿A qué instituto fuiste?”, podrían ser respondidas por cualquiera que pueda echar un vistazo a tus perfiles en las redes sociales. Para que las preguntas de seguridad sean realmente seguras, corresponde a los usuarios crear respuestas sólidas, o incluso escribir sus propias preguntas.

En algunos casos, las entidades financieras dan a los clientes la opción de escribir sus propias preguntas de seguridad. Al hacerlo, asegúrese de que las preguntas tengan respuestas memorables, invariables, únicas y que no puedan encontrarse fácilmente en Internet. Algunos ejemplos podrían ser: “¿Cuál era tu número de teléfono en tercero de primaria?” o “¿Dónde fue tu banquete de bodas?”.

Si una empresa no ofrece la opción de que el usuario cree preguntas, sea creativo con las respuestas a las consultas existentes. Pruebe a añadir caracteres especiales (siempre que sean fáciles de recordar), a utilizar varias palabras o palabras “en clave” que den un giro único a una pregunta básica como “¿Cuál es su color favorito?”. Cuanto más creativa sea la respuesta, menos probable será que la adivinen los ladrones de identidad que intentan acceder a tus cuentas.

Las respuestas débiles a las preguntas de seguridad pueden dejar las cuentas inseguras. Tomarse el tiempo necesario para crear respuestas únicas añade una capa extra de seguridad y frustra los esfuerzos de piratas informáticos, ladrones de tarjetas de crédito y otros estafadores.

Chris Hoffman es redactor jefe de How-To Geek. Lleva más de una década escribiendo sobre tecnología y fue columnista de PCWorld durante dos años. Chris ha escrito para The New York Times, ha sido entrevistado como experto en tecnología en canales de televisión como NBC 6 de Miami, y su trabajo ha sido cubierto por medios de noticias como la BBC. Desde 2011, Chris ha escrito más de 2.000 artículos que han sido leídos casi mil millones de veces, y eso solo aquí, en How-To Geek. Más información.

Los sistemas de autenticación de dos factores no son tan infalibles como parecen. En realidad, un atacante no necesita tu token de autenticación físico si puede engañar a tu compañía telefónica o al propio servicio seguro para que le dejen entrar.

Chris Hoffman es redactor jefe de How-To Geek. Lleva más de una década escribiendo sobre tecnología y fue columnista de PCWorld durante dos años. Chris ha escrito para The New York Times, ha sido entrevistado como experto en tecnología en canales de televisión como NBC 6 de Miami, y su trabajo ha sido cubierto por medios de noticias como la BBC. Desde 2011, Chris ha escrito más de 2.000 artículos que han sido leídos casi mil millones de veces, y eso solo aquí, en How-To Geek. Más información.

Tu compañía telefónica es un eslabón débil

Los sistemas de autenticación en dos pasos de muchos sitios web funcionan enviando un mensaje a tu teléfono por SMS cuando alguien intenta iniciar sesión. Aunque utilices una aplicación específica en tu teléfono para generar códigos, es muy probable que el servicio que elijas te permita iniciar sesión enviando un código SMS a tu teléfono. O puede que el servicio te permita eliminar la protección de autenticación de dos factores de tu cuenta tras confirmar que tienes acceso a un número de teléfono que configuraste como número de teléfono de recuperación.

Todo esto suena bien. Tienes tu móvil y tiene un número de teléfono. Tiene una tarjeta SIM física en su interior que lo vincula a ese número de teléfono con tu proveedor de telefonía móvil. Todo parece muy físico. Pero, por desgracia, tu número de teléfono no es tan seguro como crees.

Si alguna vez has necesitado trasladar un número de teléfono existente a una nueva tarjeta SIM después de perder tu teléfono o de adquirir uno nuevo, sabrás que a menudo puedes hacerlo completamente por teléfono, o incluso por Internet. Lo único que tiene que hacer un atacante es llamar al servicio de atención al cliente de su compañía de telefonía móvil y hacerse pasar por usted. Necesitarán

Hay formas aún más sencillas. Por ejemplo, pueden configurar el desvío de llamadas en la compañía telefónica para que las llamadas entrantes se desvíen a su teléfono y no lleguen al tuyo.

Un atacante podría no necesitar acceso a tu número de teléfono completo. Podrían acceder a tu buzón de voz, intentar entrar en páginas web a las 3 de la mañana y luego coger los códigos de verificación de tu buzón de voz. ¿Hasta qué punto es seguro el sistema de buzón de voz de tu compañía telefónica? ¿Hasta qué punto es seguro el PIN de tu buzón de voz? No todo el mundo lo tiene. Y, si lo has hecho, ¿cuánto esfuerzo le costaría a un atacante restablecer el PIN de tu buzón de voz llamando a tu compañía telefónica?

Con tu número de teléfono, se acabó todo

Tu número de teléfono se convierte en el eslabón débil, permitiendo a tu atacante eliminar la verificación en dos pasos de tu cuent a-o recibir códigos de verificación en dos pasos – a través de SMS o llamadas de voz. Para cuando te das cuenta de que algo va mal, ya pueden tener acceso a esas cuentas.

Esto es un problema para prácticamente todos los servicios. Los servicios en línea no quieren que la gente pierda el acceso a sus cuentas, así que generalmente te permiten eludir y eliminar esa autenticación de dos factores con tu número de teléfono. Esto ayuda si has tenido que reiniciar tu teléfono o comprar uno nuevo y has perdido los códigos de autenticación de dos factores, pero sigues teniendo tu número de teléfono.

En teoría, se supone que hay mucha protección. En realidad, estás tratando con el personal de atención al cliente de los proveedores de servicios de telefonía móvil. Estos sistemas suelen estar configurados para ser eficientes, y un empleado del servicio de atención al cliente puede pasar por alto algunas de las salvaguardas ante un cliente que parece enfadado, impaciente y que tiene lo que parece suficiente información. Su compañía telefónica y su departamento de atención al cliente son un eslabón débil en su seguridad.

Proteger su número de teléfono es difícil. Siendo realistas, las compañías de telefonía móvil deberían proporcionar más salvaguardas para que esto fuera menos arriesgado. En realidad, probablemente quieras hacer algo por tu cuenta en lugar de esperar a que las grandes empresas arreglen sus procedimientos de atención al cliente. Algunos servicios pueden permitirte desactivar la recuperación o el restablecimiento a través de números de teléfono y advierten profusamente de ello, pero, si se trata de un sistema de misión crítica, puede que quieras elegir procedimientos de restablecimiento más seguros, como códigos de restablecimiento que puedas guardar bajo llave en una cámara acorazada de un banco por si alguna vez los necesitas.

Otros procedimientos de restablecimiento

No se trata sólo de tu número de teléfono. Muchos servicios te permiten eliminar la autenticación de dos factores de otras formas si afirmas que has perdido el código y necesitas iniciar sesión. Siempre que conozcas suficientes datos personales sobre la cuenta, podrás entrar.

Pruébalo tú mismo: ve al servicio que has protegido con la autenticación de doble factor y finge que has perdido el código. Comprueba qué hace falta para acceder. En el peor de los casos, puede que tengas que proporcionar datos personales o responder a “preguntas de seguridad” inseguras. Depende de cómo esté configurado el servicio. Es posible que puedas restablecerlo enviando un enlace a otro correo electrónico

Por ejemplo, echa un vistazo al sistema de recuperación de cuentas de Google. Se trata de una última opción para recuperar tu cuenta. Si afirmas no conocer ninguna contraseña, al final se te pedirá información sobre tu cuenta, como cuándo la creaste y a quién envías correos electrónicos con frecuencia. En teoría, un atacante que sepa lo suficiente sobre ti podría utilizar este tipo de procedimientos de restablecimiento de contraseñas para acceder a tus cuentas.

Nunca hemos oído que se haya abusado del proceso de recuperación de cuentas de Google, pero Google no es la única empresa que dispone de herramientas de este tipo. No todas pueden ser totalmente infalibles, especialmente si un atacante sabe lo suficiente sobre ti.

Sean cuales sean los problemas, una cuenta con verificación en dos pasos configurada siempre será más segura que la misma cuenta sin verificación en dos pasos. Pero la autenticación de dos factores no es una bala de plata, como hemos visto con ataques que abusan del mayor eslabón débil: tu compañía telefónica.

Si te preocupa la seguridad de tus cuentas online más sensibles, una llave física sirve de respaldo a tu contraseña para verificar tu identidad. Funcionan así.

Una contraseña ya no es suficiente para proteger completamente tus cuentas e inicios de sesión. Los sitios web y las aplicaciones ofrecen autenticación de dos factores y funciones de inicio de sesión biométricas, pero otra forma de proteger tus cuentas es mediante una llave de seguridad física.

Una llave física sirve de respaldo a su contraseña para verificar su identidad. El tipo adecuado de llave puede funcionar con tu ordenador y teléfono móvil, a través de una conexión física o inalámbrica. Aunque alguien descubriera la contraseña de una de tus cuentas, no podría acceder a ella sin la llave física. Mientras la llave esté a salvo y segura, tu información privada estará protegida.

Encontrarás una gran variedad de claves de seguridad a la venta, incluidas las de Google, Yubico y Thetis. La llave que necesitas depende de tus necesidades específicas. Si quieres conectarla al ordenador, elige una con conector USB. Para dispositivos móviles, hay llaves con conectores USB-C o Lightning para dispositivos Android o iOS. También puedes querer una que use NFC para conectarse de forma inalámbrica, lo que cubrirá todas tus bases y no requerirá que conectes la llave cada vez.

Para esta historia, estoy usando una llave de seguridad YubiKey 5C NFC de Yubico debido a su compatibilidad con ordenadores y dispositivos móviles. Esta llave tiene tanto un conector USB-C como NFC integrado para una conexión inalámbrica. A continuación te explicamos cómo utilizar una llave de seguridad física para proteger tus cuentas online.

Configurar una llave de seguridad con un PC con Windows

Una medida que podrías tomar es asegurar tu inicio de sesión en Windows 10 con una llave de seguridad. En este caso, la llave actúa como una forma de autenticación de respaldo más allá de su nombre de usuario y contraseña. Sin embargo, hay una limitación importante. La YubiKey sólo funciona con una cuenta local de Windows; no funcionará si utilizas una cuenta Microsoft para iniciar sesión en Windows 10. Puedes tener una cuenta Microsoft y una cuenta local en el ordenador, pero la YubiKey solo te conectará a la cuenta local.

Para que esto funcione, tendrás que descargar la aplicación Yubico Login para Windows haciendo clic en Yubico Login para Windows (64 bits) o Descargar Yubico Login para Windows (32 bits), dependiendo de tu versión de Windows 10. Instala el programa y reinicia tu ordenador. Instale el programa y reinicie su ordenador. En el menú Inicio, abra la carpeta de Yubico y haga clic en el acceso directo de Configuración de inicio de sesión; a continuación, siga los pasos de esta herramienta para configurar su clave.

Una vez configurada su clave, reinicie de nuevo su ordenador. En la pantalla de inicio de sesión de Windows 10, asegúrese de que su inicio de sesión está configurado para utilizar el inicio de sesión de Yubico en la esquina inferior izquierda de la pantalla. Introduzca su nombre de usuario y contraseña de Windows 10. Si la YubiKey no está insertada, se te pedirá que la insertes y lo intentes de nuevo. A continuación, deberías iniciar sesión en Windows.

Si tiene problemas para configurar la YubiKey, consulte la Guía de configuración de Yubico Login para Windows.

También puede utilizar la YubiKey como autenticación para iniciar sesión en diversos sitios web, y no sólo en los que admiten el estándar FIDO2. El número de sitios web que aceptan llaves de seguridad físicas es limitado, pero siempre está creciendo. Google la admite, por lo que servicios como Gmail, Google Calendar, Google Maps, Google Drive, Google Docs y YouTube funcionarán con una clave de seguridad.

Configurar una clave de seguridad con cuentas online

Abre tu navegador favorito (Chrome, Firefox y Edge son compatibles) y accede a tu página de Cuentas de Google. En el panel izquierdo, selecciona la configuración de Seguridad y, a continuación, desplázate hacia abajo en la página y haz clic en Verificación en dos pasos. En la siguiente pantalla, haz clic en el botón Comenzar e inicia sesión con tu cuenta de Google, si se te solicita.

En la página Utilizar el teléfono como segundo paso para iniciar sesión, haz clic en el enlace Mostrar más opciones y selecciona Clave de seguridad. Haz clic en Siguiente, conecta la llave de seguridad al ordenador y haz clic en Aceptar. Toca el sensor de la llave de seguridad para registrarla, dale un nombre si lo deseas y haz clic en Listo.

Ajustes críticos para que los hackers no puedan acceder a tu cuenta bancaria USA TODAY

Puede parecer obvio que necesitas una contraseña segura para evitar que los hackers accedan a tu información privada y a tus informes financieros. (Foto: Getty Images/iStockphoto)

Debe asumir que su contraseña no es lo suficientemente segura. Da igual que creas que alguien, en algún lugar, está trabajando las veinticuatro horas del día para entrar en tus cuentas y robarte tu dinero, tu identidad y cualquier otra cosa que tengas. Porque, en esencia, es cierto.

Puede que hayas tomado precauciones. Utilizas software de seguridad. Has configurado la seguridad de tu router para que los hackers no puedan acceder a todos los dispositivos de tu red, conseguir tus contraseñas o utilizar tus sistemas como bot en sus ataques.

Después de hacer esto, no has terminado ni mucho menos. Los hackers son listos y siempre están en movimiento.

Aquí tienes cinco soluciones sencillas para proteger tu negocio, tus ahorros y tu futuro.

No cometa estos errores comunes con las contraseñas

Puede parecer obvio que necesita una contraseña segura para evitar que los piratas informáticos accedan a su información privada y a sus informes financieros. Millones de personas son presas fáciles debido a contraseñas inseguras como 12345678 o Password. También utilizan la misma contraseña para varios sitios.

Las reglas básicas para las contraseñas son: 1) Tiene que contener una colección aleatoria de letras (mayúsculas y minúsculas), números y símbolos; 2) Tiene que tener ocho caracteres o más; y 3) Tienes que crear una contraseña única para cada cuenta.

Es mucho pedir. Aunque algo como “Tl|_|,BwwB2R” es muy fuerte, no es fácil de recordar. ¿O no? Te voy a enseñar cómo se me ocurrió.

Empieza por pensar una frase al azar. Puedes utilizar un eslogan, una cita o incluso la letra de una canción. Yo elegí la letra de una canción de Bruce Springsteen: “Tramps like us, baby we were born to run” (Vagabundos como nosotros, nacimos para correr).

Tomé el primer carácter de cada palabra para obtener “tlu, bwwbtr”. No está mal, pero podría ser mejor. Así que añadí algunos símbolos en lugar de letras similares. U se convierte en |_|, el “to” de la letra original se convierte en 2. Luego, puse en mayúsculas algunas de las letras para crear una contraseña fuerte que pudiera recordar fácilmente: “Tl|_|,BwwB2R”.

Una vez que la tengas, puedes modificar la misma contraseña para varias cuentas. Para Facebook, podrías hacerla “Tl|_|$,BwwB2RFB”. Amazon puede ser “AmzTl|_|$,BwwB2R”. Puedes hacer un esquema coherente.

Para evitar que los delincuentes abran cuentas bancarias, de servicios públicos y telefónicas a tu nombre, necesitas algo más que una congelación del crédito. Esto es lo que hay que hacer. USA TODAY

Dificulta que los hackers descifren el código

Los piratas informáticos pueden descifrar rápidamente su contraseña, pero no pueden descifrar el código secreto de un solo uso que su banco le envía por SMS. La autenticación de dos factores (2FA) es un potente método de seguridad porque los piratas informáticos tendrían que robarte físicamente el teléfono, introducir la contraseña correcta y luego el código secreto.

Tras los hackeos a gran escala, la mayoría de las cuentas importantes ofrecen autenticación de dos factores, desde las redes sociales hasta los bancos.

Controle todos sus céntimos

La mayoría de nosotros tenemos al menos una cuenta bancaria (y a menudo más), además de cuentas de crédito, PayPal y otros depósitos para nuestro dinero. Puede ser difícil hacer un seguimiento de todo ello, sobre todo cuando se tienen inversiones adicionales y objetivos de ahorro personales.

Es más fácil controlar las finanzas de tu empresa si todas estas cuentas están agrupadas en un solo lugar, delante de tus ojos.

Hoy en día, eso significa una aplicación como Mint de Intuit. La aplicación Mint, y otras similares, pueden ayudarte a establecer presupuestos y gestionar tus facturas. También puedes recibir recordatorios para pagar las facturas a su vencimiento.

Conoce tu puntuación crediticia

Tu puntuación de crédito te dirá mucho sobre los hackers. Si ves algo sospechoso en ellos, como cuentas de tarjetas de crédito que tú no abriste, puedes alertar a la oficina de crédito que lo esté informando, ya sea Experian, Equifax o TransUnion.

Por supuesto, ahora es más fácil que nunca consultar tu informe crediticio. Puedes consultar sitios gratuitos como el de la tarjeta de crédito Discover, que dice: “No tienes que ser nuestro cliente, y no hay ninguna mella en tu crédito”.

Lo importante es comprobar sus informes de crédito. Debería empezar por las tres agencias de crédito, cada una de las cuales le proporciona un informe de crédito gratuito al año.

Congele su crédito

Es posible que haya oído a asesores financieros decir a la gente que congele su crédito. Pero quizá no sepa por qué se lo sugieren.

Te lo explicamos de forma sencilla. A los piratas informáticos les resultará difícil acceder a su información personal si ha pedido a las agencias de crédito que congelen su crédito; usted tampoco podrá acceder a ella a menos que les pida que la descongelen.

A partir de este año, el gobierno federal ordena que pueda congelar su crédito gratuitamente llamando a las tres agencias de crédito, Experian, Equifax y TransUnion. Tienen que congelar tu crédito en el plazo de un día laborable desde que solicitas la congelación por teléfono o en sus sitios web.

¿Qué d

Una contraseña ya no basta para proteger por completo tus cuentas e inicios de sesión. Los sitios web y las aplicaciones ofrecen autenticación de dos factores y funciones de inicio de sesión biométricas, pero otra forma de proteger tus cuentas es mediante una llave de seguridad física.

Una llave física sirve de respaldo a su contraseña para verificar su identidad. El tipo adecuado de llave puede funcionar con tu ordenador y teléfono móvil, a través de una conexión física o inalámbrica. Aunque alguien descubriera la contraseña de una de tus cuentas, no podría acceder a ella sin la llave física. Mientras la llave esté a salvo y segura, tu información privada estará protegida.

Encontrarás una gran variedad de claves de seguridad a la venta, incluidas las de Google, Yubico y Thetis. La llave que necesitas depende de tus necesidades específicas. Si quieres conectarla al ordenador, elige una con conector USB. Para dispositivos móviles, hay llaves con conectores USB-C o Lightning para dispositivos Android o iOS. También puedes querer una que use NFC para conectarse de forma inalámbrica, lo que cubrirá todas tus bases y no requerirá que conectes la llave cada vez.

Encontrarás una gran variedad de claves de seguridad a la venta, incluidas las de Google, Yubico y Thetis. La llave que necesitas depende de tus necesidades específicas. Si quieres conectarla al ordenador, elige una con conector USB. Para dispositivos móviles, hay llaves con conectores USB-C o Lightning para dispositivos Android o iOS. También puedes querer una que use NFC para conectarse de forma inalámbrica, lo que cubrirá todas tus bases y no requerirá que conectes la llave cada vez.

Para esta historia, estoy usando una llave de seguridad YubiKey 5C NFC de Yubico debido a su compatibilidad con ordenadores y dispositivos móviles. Esta llave tiene tanto un conector USB-C como NFC integrado para una conexión inalámbrica. A continuación te explicamos cómo utilizar una llave de seguridad física para proteger tus cuentas online.

Configurar una llave de seguridad con un PC con Windows

Una medida que podrías tomar es asegurar tu inicio de sesión en Windows 10 con una llave de seguridad. En este caso, la llave actúa como una forma de autenticación de respaldo más allá de su nombre de usuario y contraseña. Sin embargo, hay una limitación importante. La YubiKey sólo funciona con una cuenta local de Windows; no funcionará si utilizas una cuenta Microsoft para iniciar sesión en Windows 10. Puedes tener una cuenta Microsoft y una cuenta local en el ordenador, pero la YubiKey solo te conectará a la cuenta local.

Para que esto funcione, tendrás que descargar la aplicación Yubico Login para Windows haciendo clic en Yubico Login para Windows (64 bits) o Descargar Yubico Login para Windows (32 bits), dependiendo de tu versión de Windows 10. Instala el programa y reinicia tu ordenador. Instale el programa y reinicie su ordenador. En el menú Inicio, abra la carpeta de Yubico y haga clic en el acceso directo de Configuración de inicio de sesión; a continuación, siga los pasos de esta herramienta para configurar su clave.

Una vez configurada su clave, reinicie de nuevo su ordenador. En la pantalla de inicio de sesión de Windows 10, asegúrese de que su inicio de sesión está configurado para utilizar el inicio de sesión de Yubico en la esquina inferior izquierda de la pantalla. Introduzca su nombre de usuario y contraseña de Windows 10. Si la YubiKey no está insertada, se te pedirá que la insertes y lo intentes de nuevo. A continuación, deberías iniciar sesión en Windows.

Si tiene problemas para configurar la YubiKey, consulte la Guía de configuración de Yubico Login para Windows.

También puede utilizar la YubiKey como autenticación para iniciar sesión en diversos sitios web, y no sólo en los que admiten el estándar FIDO2. El número de sitios web que aceptan llaves de seguridad físicas es limitado, pero siempre está creciendo. Google la admite, por lo que servicios como Gmail, Google Calendar, Google Maps, Google Drive, Google Docs y YouTube funcionarán con una clave de seguridad.

Configurar una clave de seguridad con cuentas online

Abre tu navegador favorito (Chrome, Firefox y Edge son compatibles) y accede a tu página de Cuentas de Google. En el panel izquierdo, selecciona la configuración de Seguridad y, a continuación, desplázate hacia abajo en la página y haz clic en Verificación en dos pasos. En la siguiente pantalla, haz clic en el botón Comenzar e inicia sesión con tu cuenta de Google, si se te solicita.

En la página Utilizar el teléfono como segundo paso para iniciar sesión, haz clic en el enlace Mostrar más opciones y selecciona Clave de seguridad. Haz clic en Siguiente, conecta la llave de seguridad al ordenador y haz clic en Aceptar. Toca el sensor de la llave de seguridad para registrarla, dale un nombre si lo deseas y haz clic en Listo.

Ajustes críticos para que los hackers no puedan acceder a tu cuenta bancaria USA TODAY

Puede parecer obvio que necesitas una contraseña segura para evitar que los hackers accedan a tu información privada y a tus informes financieros. (Foto: Getty Images/iStockphoto)

Debe asumir que su contraseña no es lo suficientemente segura. Da igual que creas que alguien, en algún lugar, está trabajando las veinticuatro horas del día para entrar en tus cuentas y robarte tu dinero, tu identidad y cualquier otra cosa que tengas. Porque, en esencia, es cierto.

Conecta tu llave de seguridad o mantenla en la parte superior del teléfono. Crea un PIN o una contraseña para proteger este método de inicio de sesión. Deberías recibir un mensaje indicándote que ya está todo listo. La próxima vez que intentes iniciar sesión en Twitter móvil, introduce tu nombre de usuario y contraseña y, a continuación, conecta o mantén la llave de seguridad junto al teléfono para autenticar tu cuenta.

Comparte:

Haz clic para compartir en Twitter (Se abre en una ventana nueva)

Haz clic para compartir en Facebook (Se abre en una ventana nueva)

On your phone, sign into the Twitter website. Go to Settings and Privacy > Security and account access > Security >Haz clic para compartir en Pinterest (Se abre en una ventana nueva)

Debes asumir que tus contraseñas no son lo suficientemente seguras. Da igual que creas que alguien, en algún lugar, está trabajando las veinticuatro horas del día para entrar en tus cuentas y robarte tu dinero, tu identidad y cualquier otra cosa que tengas. Porque, en esencia, es cierto.

Puede que hayas tomado precauciones. Utilizas software de seguridad. Si no lo haces, toca o haz clic aquí para descargar tres programas gratuitos para una seguridad óptima en Windows.

  • Has configurado la seguridad de tu router para que los hackers no puedan acceder a todos los dispositivos de tu red, obtener tus contraseñas o utilizar tus sistemas como bot en sus ataques. Para asegurarte, toca o haz clic aquí para ver cinco ajustes de seguridad del router que debes activar antes de que sea demasiado tarde. Una vez hecho esto, aún queda mucho por hacer. Los piratas informáticos son listos y siempre están en movimiento.
  • Aquí tienes cinco soluciones sencillas para proteger tus cuentas bancarias online.
  • 1. No cometas estos errores comunes con las contraseñas

Puede parecer obvio que necesitas una contraseña segura para evitar que los hackers accedan a tu información privada y a tus informes financieros. Millones de personas son presas fáciles debido a contraseñas inseguras como 12345678 o Password. También utilizan la misma contraseña para varios sitios.

Las reglas básicas para las contraseñas son 1. Tiene que contener una colección aleatoria de letras (mayúsculas y minúsculas), números y símbolos; 2. Tiene que tener ocho caracteres o más; y 3. Tiene que ser única para cada cuenta. Tienes que crear una contraseña única para cada cuenta.

Es mucho pedir. Aunque algo como “Tl|_|,BwwB2R” es muy fuerte, no es fácil de recordar. ¿O no? Te mostramos cómo lo conseguimos.

Empieza por pensar una frase al azar. Puedes utilizar un eslogan, una cita o incluso la letra de una canción. Nosotros hemos elegido la letra de una canción de Bruce Springsteen: “Tramps like us, baby we were born to run”.

Tomamos el primer carácter de cada palabra para obtener “tlu, bwwbtr”. No está mal, pero podría estar mejor. Así que añadimos algunos símbolos en lugar de letras similares. La U se convierte en |_|, el “to” de la letra original se convierte en 2. Luego, pusimos en mayúsculas algunas de las letras para crear una contraseña fuerte que puedo recordar fácilmente: “Tl|_|,BwwB2R”.

Empieza por pensar una frase al azar. Puedes utilizar un eslogan, una cita o incluso la letra de una canción. Yo elegí la letra de una canción de Bruce Springsteen: “Tramps like us, baby we were born to run” (Vagabundos como nosotros, nacimos para correr).

2. Dificulta que los hackers descifren el código

Los piratas informáticos pueden descifrar rápidamente su contraseña, pero no pueden descifrar el código secreto de un solo uso que le envía su banco. La autenticación de dos factores (2FA) es un potente método de seguridad porque los hackers tendrían que robar físicamente tu teléfono, introducir la contraseña correcta y luego ese código secreto.

Tras los hackeos a gran escala, la mayoría de las cuentas importantes ofrecen autenticación de dos factores, desde las redes sociales hasta los bancos. Si no estás seguro de cómo configurar el 2FA en tus cuentas, te cubrimos las espaldas. Toca o haz clic aquí para ver los pasos para hacerlo en las cuentas más populares objetivo de los hackers.

3. Controle todos sus céntimos

La mayoría de nosotros tenemos al menos una cuenta bancaria (y a menudo más), además de cuentas de crédito, PayPal y otros depósitos para nuestro dinero. Puede ser difícil hacer un seguimiento de todo ello, sobre todo cuando se tienen inversiones adicionales y objetivos de ahorro personales.

Es más fácil hacer un seguimiento de las finanzas de tu negocio si todas estas cuentas están en un solo lugar, justo delante de tus ojos.

Hoy en día, eso significa una aplicación como Mint de Intuit. La aplicación Mint, y otras similares, pueden ayudarte a establecer presupuestos y gestionar tus facturas. También puedes recibir recordatorios para pagar las facturas a su vencimiento.

4. Conoce tu puntuación crediticia

Tu puntuación de crédito te dirá mucho sobre los hackers. Si ves algo sospechoso en ellos, como cuentas de tarjetas de crédito que tú no abriste, puedes alertar a la oficina de crédito que lo esté reportando, ya sea Experian, Equifax o TransUnion.

Por supuesto, es más fácil que nunca comprobar su informe de crédito. Puedes consultar sitios gratuitos como el de la tarjeta de crédito Discover, que dice: “No tienes que ser nuestro cliente, y no hay ninguna mella en tu crédito”.

Lo importante es comprobar sus informes de crédito. Debería empezar por las tres agencias de crédito, cada una de las cuales le proporciona un informe de crédito gratuito cada año. Pulse o haga clic aquí para saber cómo comprobar su crédito de forma gratuita.

5. Congele su crédito

Es posible que haya oído a asesores financieros decir a la gente que congele su crédito. Pero quizá no sepa por qué se lo sugieren.

Te lo explicamos de forma sencilla. A los piratas informáticos les resultará difícil acceder a su información personal si ha pedido a las agencias de crédito que congelen su crédito; usted tampoco podrá acceder a él a menos que les pida que lo descongelen.

Es posible que haya oído a asesores financieros decir a la gente que congele su crédito. Pero quizá no sepa por qué se lo sugieren.

Para ayudarle, tenemos los pasos para congelar su crédito en nuestro sitio. Pulse o haga clic en este enlace para empezar ahora.

Dado que los ciberdelincuentes siempre están ideando nuevas estafas y mejores herramientas, nada es seguro al 100%. Pero la incorporación de estos sencillos ajustes de seguridad le ayudará a salvaguardar sus cuentas bancarias en línea y le dará una oportunidad de luchar.

¿Qué d

Abre tu navegador favorito (Chrome, Firefox y Edge son compatibles) y accede a tu página de Cuentas de Google. En el panel izquierdo, selecciona la configuración de Seguridad y, a continuación, desplázate hacia abajo por la página y haz clic en Verificación en dos pasos. En la siguiente pantalla, haz clic en el botón Comenzar e inicia sesión con tu cuenta de Google, si se te solicita.

En la página Utilizar el teléfono como segundo paso para iniciar sesión, haz clic en el enlace Mostrar más opciones y selecciona Clave de seguridad. Haz clic en Siguiente, conecta la llave de seguridad al ordenador y haz clic en Aceptar. Toca el sensor de la llave de seguridad para registrarla, dale un nombre si lo deseas y haz clic en Listo.

La próxima vez que necesites acceder a tu cuenta de Google, asegúrate de que la llave de seguridad esté insertada en tu ordenador. Cuando introduzcas tu nombre de usuario y contraseña, se te pedirá que toques la llave para autenticar el inicio de sesión. A continuación, puedes utilizar la misma clave de seguridad en cualquier navegador y en cualquier equipo para acceder a tu cuenta.

Configurar una clave de seguridad con un dispositivo móvil

Encontrarás una gran variedad de claves de seguridad a la venta, incluidas las de Google, Yubico y Thetis. La llave que necesitas depende de tus necesidades específicas. Si quieres conectarla al ordenador, elige una con conector USB. Para dispositivos móviles, hay llaves con conectores USB-C o Lightning para dispositivos Android o iOS. También puedes querer una que use NFC para conectarse de forma inalámbrica, lo que cubrirá todas tus bases y no requerirá que conectes la llave cada vez.

Para esta historia, estoy usando una llave de seguridad YubiKey 5C NFC de Yubico debido a su compatibilidad con ordenadores y dispositivos móviles. Esta llave tiene tanto un conector USB-C como NFC integrado para una conexión inalámbrica. A continuación te explicamos cómo utilizar una llave de seguridad física para proteger tus cuentas online.

Configurar una llave de seguridad con un PC con Windows

Una medida que podrías tomar es asegurar tu inicio de sesión en Windows 10 con una llave de seguridad. En este caso, la llave actúa como una forma de autenticación de respaldo más allá de su nombre de usuario y contraseña. Sin embargo, hay una limitación importante. La YubiKey sólo funciona con una cuenta local de Windows; no funcionará si utilizas una cuenta Microsoft para iniciar sesión en Windows 10. Puedes tener una cuenta Microsoft y una cuenta local en el ordenador, pero la YubiKey solo te conectará a la cuenta local.

Para que esto funcione, tendrás que descargar la aplicación Yubico Login para Windows haciendo clic en Yubico Login para Windows (64 bits) o Descargar Yubico Login para Windows (32 bits), dependiendo de tu versión de Windows 10. Instala el programa y reinicia tu ordenador. Instale el programa y reinicie su ordenador. En el menú Inicio, abra la carpeta de Yubico y haga clic en el acceso directo de Configuración de inicio de sesión; a continuación, siga los pasos de esta herramienta para configurar su clave.

Una vez configurada su clave, reinicie de nuevo su ordenador. En la pantalla de inicio de sesión de Windows 10, asegúrese de que su inicio de sesión está configurado para utilizar el inicio de sesión de Yubico en la esquina inferior izquierda de la pantalla. Introduzca su nombre de usuario y contraseña de Windows 10. Si la YubiKey no está insertada, se te pedirá que la insertes y lo intentes de nuevo. A continuación, deberías iniciar sesión en Windows.

Si tiene problemas para configurar la YubiKey, consulte la Guía de configuración de Yubico Login para Windows.

También puede utilizar la YubiKey como autenticación para iniciar sesión en diversos sitios web, y no sólo en los que admiten el estándar FIDO2. El número de sitios web que aceptan llaves de seguridad físicas es limitado, pero siempre está creciendo. Google la admite, por lo que servicios como Gmail, Google Calendar, Google Maps, Google Drive, Google Docs y YouTube funcionarán con una clave de seguridad.

Configurar una clave de seguridad con cuentas online

Abre tu navegador favorito (Chrome, Firefox y Edge son compatibles) y accede a tu página de Cuentas de Google. En el panel izquierdo, selecciona la configuración de Seguridad y, a continuación, desplázate hacia abajo en la página y haz clic en Verificación en dos pasos. En la siguiente pantalla, haz clic en el botón Comenzar e inicia sesión con tu cuenta de Google, si se te solicita.

En la página Utilizar el teléfono como segundo paso para iniciar sesión, haz clic en el enlace Mostrar más opciones y selecciona Clave de seguridad. Haz clic en Siguiente, conecta la llave de seguridad al ordenador y haz clic en Aceptar. Toca el sensor de la llave de seguridad para registrarla, dale un nombre si lo deseas y haz clic en Listo.

Ajustes críticos para que los hackers no puedan acceder a tu cuenta bancaria USA TODAY

Puede parecer obvio que necesitas una contraseña segura para evitar que los hackers accedan a tu información privada y a tus informes financieros. (Foto: Getty Images/iStockphoto)

Debe asumir que su contraseña no es lo suficientemente segura. Da igual que creas que alguien, en algún lugar, está trabajando las veinticuatro horas del día para entrar en tus cuentas y robarte tu dinero, tu identidad y cualquier otra cosa que tengas. Porque, en esencia, es cierto.

Conecta tu llave de seguridad o mantenla en la parte superior del teléfono. Crea un PIN o una contraseña para proteger este método de inicio de sesión. Deberías recibir un mensaje indicándote que ya está todo listo. La próxima vez que intentes iniciar sesión en Twitter móvil, introduce tu nombre de usuario y contraseña y, a continuación, conecta o mantén la llave de seguridad junto al teléfono para autenticar tu cuenta.

Comparte:

Haz clic para compartir en Twitter (Se abre en una ventana nueva)

Haz clic para compartir en Facebook (Se abre en una ventana nueva)

On your phone, sign into the Twitter website. Go to Settings and Privacy > Security and account access > Security >Haz clic para compartir en Pinterest (Se abre en una ventana nueva)

Debes asumir que tus contraseñas no son lo suficientemente seguras. Da igual que creas que alguien, en algún lugar, está trabajando las veinticuatro horas del día para entrar en tus cuentas y robarte tu dinero, tu identidad y cualquier otra cosa que tengas. Porque, en esencia, es cierto.

El acceso privilegiado puede limitarse para que sólo las personas autorizadas puedan consultar datos personales de clientes, secretos comerciales, negociaciones en curso, propiedad intelectual, datos financieros, entre otros.

La Gestión de Acceso Privilegiado es capaz de dirigir qué acceso tendrá autorización cada empleado. Así, sólo podrán consultar información relevante para sus tareas. Todo esto será controlado por el sistema, sin importar si están trabajando en persona o remotamente.

Además de los datos internos, para tener un mayor control sobre la protección contra ataques, también es posible restringir el acceso a contenidos externos en sitios web y aplicaciones que supongan un cierto tipo de amenaza para la seguridad de la empresa.

¿Es posible proteger mis contraseñas en la nube?

Sí. senhasegura es la única empresa en Brasil que ofrece una bóveda de contraseñas nativa en la nube. El servicio SaaS protege sus credenciales, ofrece rotación de contraseñas, auditoría y monitorización de estas cuentas privilegiadas.

De esta forma, minimiza las tareas del departamento administrativo de seguridad y permite que el proceso se lleve a cabo de forma eficiente y a un coste menor. Por sus ventajas, es ideal para pequeñas y medianas empresas.

¿Es lo mismo PAM que IAM?

No. Aunque ambos tienen como principio controlar los datos de una empresa, los dos suelen funcionar de forma complementaria, cada uno con su propia funcionalidad.

En comparación, podemos decir que PAM es un poco más elaborado. La gestión de identidades y accesos (IAM) es una herramienta utilizada por los administradores para gestionar fácilmente a los usuarios y legitimar el acceso a determinados recursos de la empresa.

A pesar de ello, este tipo de sistema tiene algunas lagunas cuando se trata de cuentas privilegiadas. Es en este punto donde PAM se vuelve esencial, ya que funciona de forma más amplia y detallada. Esta solución puede informarle de todo lo que se está haciendo, qué sesiones se han iniciado y quién está accediendo a determinada información.

En definitiva, una solución PAM controla todo lo relacionado con estos datos dentro de la empresa, consiguiendo filtrar la accesibilidad y garantizar un almacenamiento seguro de toda la información.

¿Tiene más preguntas sobre el tema? Ponte en contacto con el equipo de senhasegura, ya que podemos ayudarte a encontrar el producto ideal para tus necesidades.

Garantizar la seguridad de su empresa ya no tiene por qué ser una preocupación. Estamos seguros de ello, ya que somos expertos en soluciones PAM. Visite nuestra página web y conozca todos nuestros productos y servicios.