Las películas nos han metido en la cabeza que el mayor riesgo para tus cuentas es que un hacker intente meterse a ellas por métodos ultra-sofisticados, como un súper y avanzado software malicioso. Algo así como Ivan Vanko hackeando en menos de 5 segundos las computadoras de Justin Hammer en Iron Man 2.
De hecho, lo más común es robar claves con métodos bien poco refinados. Seguro que conoces a alguien que anota sus claves en su Pascualina o en un post-it al lado de la pantalla: basta con esperar a que se pare al baño y voilà, Pascualina hackeada.
Así que en realidad no hace falta ser hacker de película para robarte una contraseña. Hoy en día, los dos riesgos más probables para cualquier mortal son: 1) que alguien adivine tu clave, y 2) que te roben tu clave con un correo de phishing.
Acá te explico en qué consisten estos métodos y cómo puedes evitarlos.
Que adivinen mi clave
Las personas somos muy malas inventando claves que sean fáciles de recordar, pero difíciles de adivinar por otras. Como tenemos muchas, pero muchas cuentas, es imposible memorizar 200 claves distintas… Y a veces cometemos el error de tener unas pocas y reutilizarlas.
Así, si un hacker adivina una de tus claves, va a tener acceso a varias de tus cuentas. Y si tienes una sola clave, tendrá acceso a todo.
Podemos hacerle la pega mucho más fácil a los hackers si usamos datos personales para la contraseña, como nuestro cumpleaños, el número de nuestra casa o departamento, la fecha de nacimiento de nuestra pareja, el nombre de nuestro personaje favorito de Marvel, etc.
Acá van tres formas de evitar que adivinen tus contraseñas:
-
Usar una passphrase: una passphrase es una clave larga, compuesta por varias palabras escogidas de forma aleatoria. La manera más sencilla de hacer esto es usar un generador de palabras aleatorias (por ejemplo, palabrasaleatorias.com). Escoge cinco palabras al azar y usa las cinco como tu clave. Si te sirve, puedes inventar e imaginar una historia con estas cinco palabras. Por ejemplo, si tus palabras fueron “victoria”, “caracol”, “nave”, “ovnis” y “lobo”, te puedes imaginar la victoria de un caracol luchando en una nave contra un lobo mientras miran los ovnis. O algo que te haga sentido, jaja.
-
Usar una tarjeta de claves: una tarjeta de claves es una “tarjeta de coordenadas” que usan algunos bancos, solo que esta es personal y tiene un montón de combinaciones que pueden ser usadas para distintas cuentas a la vez. Hay algunos lugares en Internet donde puedes bajar una tarjeta de coordenadas única para ti, como, passwordcard.org. Estas tarjetas de coordenadas tienen filas de colores y símbolos (triángulos, cuadrados, rombos, estrellas, etc.) y en vez de recordar una clave complicada, para un sitio específico recuerdas un color y un signo y en la fila y columna que correspondan encuentras una combinación de letras y números que puedes usar como clave.
-
Usar un gestor de claves: existen programas que generan claves aleatorias distintas para cada sitio web que utilices y los puedes utilizar en tu computador. Cada vez que vas a un sitio web, el gestor de claves reconoce el sitio y llena la clave correspondiente por ti. Así, no tienes que aprenderte las claves de memoria: basta con que tengas una sola buena clave para entrar al gestor de claves. En algunos casos puedes incluso usar tu huella digital para ingresar al gestor de claves. Algunos buenos gestores son LastPass, DashLane y 1Password.
👀 Ojo que no tienes que hacer las tres, con una sola basta.
Que me roben la clave con un mail de phishing
La manera más cómoda para un hacker de robarse nuestra clave es enviando un correo que parece ser institucional/serio con un link para ingresar al sitio web. Si haces clic en el link, te llevará a otro sitio, que realmente no es el que dice ser pero que se parece mucho.
Eso es el phishing.
Hay bancos y otras instituciones que prefieren no poner links en sus mails. En Fintual no lo hacemos así, porque a veces es inevitable enviar links (por ejemplo, cuando estás intentando recuperar tu clave porque la olvidaste o porque alguien más está intentando cambiarla).
Creemos que es mejor contarte qué tienes que hacer para saber cuándo un link está bien o cuándo es malicioso.
¿Cómo saber si estás en Fintual o en otro sitio? Tienes que mirar la URL (que es la dirección que aparece arriba en la barra de direcciones) y tienes que fijarte que el dominio sea fintual.cl en caso de que estés en Chile, o fintual.mx en caso de que estés en México.
Por ejemplo, en Chile de esta forma se ve cuando entras a la web de Fintual en Chrome (a la izquierda en Chile, a la derecha en México):
Así se ve cuando entras a Fintual desde Firefox:
Y así se ve cuando ocupas Safari:
Fíjate que en todos los casos anteriores también aparece un candado cerrado a la izquierda del nombre “fintual”. Esto significa que la conexión con el sitio web de Fintual está cifrado, por lo que además de Fintual y tú, nadie más puede ver lo que aparece en tu pantalla. Esto es importante porque no queremos que nadie salvo tú y nosotros tengamos acceso a tus datos y tus inversiones.
Otras recomendaciones de seguridad
Tenemos algunas recomendaciones adicionales para tu laptop o computador:
-
Bloquea tu computador o laptop con una contraseña: si no bloqueas el acceso a tu laptop y te llegaran a robar, es probable que la persona que lo abra pueda entrar a las cuentas en tu navegador (incluido Fintual).
Si puedes, ocupa una contraseña larga, fácil de recordar para ti, pero difícil de adivinar por otros (aquí valen las mismas recomendaciones que hicimos más arriba).
También cuando estés en la oficina u en otro lugar semi-público, si te paras al baño o a tomarte un café, bloquea tu computador. Una buena idea es configurarlo para que se bloquee automáticamente luego de un par de minutos de inactividad. -
Actualiza tu computador con los últimos parches de seguridad: es muy importante que mantengas tu computador actualizado con los últimos parches de seguridad. Tanto en Windows como en un Mac es posible configurar el computador para que haga esto de manera automática.
-
Si tienes un computador con Windows, instala un antivirus: los computadores con MS Windows son, por arquitectura, más fáciles de infectar con un virus computacional. A pesar de que es bueno tener un antivirus en todos tus aparatos, es especialmente importante tenerlo en un computador con Windows. Hay algunas versiones gratuitas de antivirus que puedes probar: Avast, AVG y Avira.
-
Si tienes que usar un computador público o que no es tuyo: asegúrate de usar navegación privada, no guardes tus claves y, cuando termines de usarlo, cierra la sesión y la ventana del navegador.
Y dos recomendaciones más para tu celular:
-
Bloquea tu teléfono con un pin de más de 4 dígitos o con tu huella digital: si no bloqueas el acceso a tu teléfono, cualquier persona que tenga acceso a tu teléfono puede ver todas tus cuentas y aplicaciones. Es preferible que uses un pin de más de 4 dígitos. No uses un patrón de puntos: esto es extremadamente inseguro, porque usualmente dejamos nuestras huellas sobre la pantalla del teléfono y hay investigaciones que prueban que es posible adivinar un patrón de puntos luego de pocos intentos mirando los rastros de la pantalla.
-
Nunca instales aplicaciones fuera de la App Store: si tienes un iPhone, usa solo la App Store para instalar aplicaciones; si tienes un Android, usa sólo la Play Store para instalar aplicaciones. Nunca instales aplicaciones en otras apps, aunque te digan que son seguras :(
Así que compártele este artículo a esa persona que aún anota todas sus claves en su Pascualina :)
Si te gustó este artículo y tienes un comentario o algo para complementarlo, escríbenos a cartas@fintual.com. Publicamos las más destacadas.