El peligro de los Cibers




Me escribe Enrique Espinosa ([email protected]): "Me pareció interesante enviarte este tema para tratarlo en el suple, ya que desde hace un tiempo vengo observando bastantes fallas de seguridad en cibers que he visitado últimamente y descuido por parte de los clientes. Por ejemplo, es frecuente encontrarse con un nombre de usuario y contraseña ya puestos al ir a ver el correo, cuentas abiertas de Facebook, conversaciones del Messenger almacenadas desde hace meses, sesiones abiertas en foros o alguien preguntando en el chat, enojado por no recibir respuesta.

"En un ciber muy bien puesto y con todos los equipos nuevos es frecuente encontrarse con documentos personales de los dueños del local almacenados en cualquier máquina. Lo último fue hoy, al ir a las Opciones del Mozilla en la máquina de otro ciber. Allí me encontré con unas cuentas y contraseñas guardadas. En fin, creo que debería haber alguna reglamentación para que todos los cibers tengan instalados programas como el Go Back o cualquiera que deje todo a cero después de cada sesión... y, obvio, ¡los clientes deberían ser más cuidadosos!"

Y vaya si tiene razón. Las pocas veces que usé un cibercafé o un locutorio me encontré con la misma situación, y dudo que vaya a cambiar, con o sin regulaciones. Así que, como el pan se hace con la harina que se tiene, seguiré aquí la oportuna sugerencia de Enrique. Es decir, divulgar una receta lo más minuciosa y detallada posible para operar con una computadora pública sin riesgos. Supongo que habrá algunos cibers y locutorios que son la excepción a la regla, pero en general estas son las medidas para contrarrestar a fisgones y delincuentes informáticos que asechan las computadoras públicas:

1. No debe usarse una PC de esta clase para ninguna operación comercial, bancaria, financiera o de cualquier otro tipo que involucre patrimonio. Los piratas conocen muy bien la situación descripta por Enrique, y no le mandan cartas a los diarios. Si no se tiene computadora es mejor hacer la cola del banco que hacer el trámite en línea en una máquina a la que cualquier persona (villanos incluidos) tiene acceso.

2. Ciertamente, la regla número 1 es muy difícil de seguir a rajatabla, porque la tentación y, en muchos casos, la necesidad de una PC pueden obligarnos a pasarla por alto. Típicamente, cuando salimos de vacaciones. En ese caso, no hay que utilizar el teclado. ¿Cómo es eso? Me contaba hace unos años un experto en seguridad de Symantec que los delincuentes informáticos se hacen un festín en los balnearios durante el verano, instalando en locutorios y cibercafés lo que se conoce como keyloggers . Estos programas capturan todo lo que se tipea, lo guardan en un archivo de texto y se lo envían al pirata subrepticiamente. Es cierto que existen keyloggers que capturan la imagen del Escritorio de Windows, pero son menos frecuentes y por lejos menos eficientes para robar información.

Por lo tanto, hay que usar un teclado en pantalla. En XP, Vista y 7 se lo convoca por medio del atajo de teclado Windows+U (la tecla Windows está entre Ctrl y Alt , a la izquierda, y tiene el bien conocido logo de este sistema operativo). ¿Cómo se lo usa? Arranque el teclado en pantalla, que quedará siempre en primer plano, haga clic en la caja de la contraseña, número de tarjeta de crédito o cualquier otro campo de datos sensibles que deba completar y use el ratón para tipear esos datos en el teclado virtual.

Todos los sitios de banca online tienen su propio teclado en pantalla, además. Uselo siempre, sin excepción.

3. El teclado en pantalla no debe usarse sólo para ingresar la contraseña del banco o el número de la tarjeta de crédito al hacer una compra online (actividades que no deben realizarse en una PC pública, a menos que sea absolutamente indispensable, como ya se dijo), sino también para todos los servicios que requieran registrarse. Si no tiene ganas de que le roben su cuenta de Hotmail o accedan a su calendario en Google, por citar sólo dos, no utilice el teclado físico para ingresar contraseñas; apriete Windows+U e inicie el teclado en pantalla.

4. Si es complicado mantener nuestra propia computadora libre de invasores, y si de hecho es difícil asegurar que está 100% limpia, ¿qué puede esperarse de un equipo utilizado por cientos de personas al mes? La actitud correcta es dar por supuesto que esa PC tiene toda clase de infecciones y amenazas y, por lo tanto, actuar en consecuencia. Por ejemplo, no es ninguna buena idea enchufar un pendrive en un equipo público. Si de todos modos tiene que hacerlo (de nuevo, hay veces en que no queda más remedio), use el interruptor para protegerlo contra escritura; algunos carecen de este switch, lamentablemente. Si, peor, debe sacar datos de una PC pública, desactive la reproducción automática en Windows. Claro que esto es más fácil de decir que de hacer.

En XP Profesional, use Inicio> Ejecutar gpedit.msc + Enter . Una vez dentro del Editor de Políticas de Grupo , busque Configuración del Equipo> Plantillas Administrativas> Sistema y active la función Desactivar reproducción automática en Todas las unidades . Observe que hay que activar algo que desactiva; sí, es enrevesado.

En XP Home, use Tweak UI ( www.microsoft.com/windowsxp/Downloads/powertoys/Xppowertoys.mspx ). La opción se encuentra en My Computer> AutoPlay> Types . Este software no está en español.

En Vista y 7 la función está ahora (por fin) en el Panel de control bajo el nombre de Reproducción automática .

En XP hubo durante bastante tiempo un bug que impedía desactivar la autoejecución. En esta página de Microsoft, la información y solución: http://support.microsoft.com/kb/967715

5. Parece obvio, pero evidentemente no lo es. Cierre la sesión de correo, chat, Facebook, Twitter o cualquier otra que haya iniciado en una computadora pública antes de retirarse. No alcanza con cerrar el navegador (es decir, el Internet Explorer, Firefox, Safari o equivalente); debe cerrarse la sesión iniciada en el servicio. De otro modo, por medio de cookies (ver regla número 6) la sesión queda abierta y cualquier persona podría entrar en esa cuenta, incluso sin mala intención. Por idéntico motivo, nunca, ni siquiera en sus propias máquinas, use la opción de Mantener conectado o No cerrar sesión que ahora ofrecen algunos servicios. Es una pésima idea y, personalmente, no comprendo por qué la han implementado.

6. El único pequeño problema de la regla número 5 es que para facilitarnos las cosas los browsers actuales pueden configurarse para que recuerden las contraseñas y otros datos que ingresamos en los formularios. Así que, además de nunca aceptar que el navegador recuerde contraseñas cuando se lo pregunte, debe hacer lo siguiente: después de cerrar la sesión en el servicio que haya estado usando y antes de irse, en el Internet Explorer vaya a Herramientas> Opciones de Internet> Contenido> Información personal> Autocompletar y borre los formularios y las contraseñas.

En el mismo cuadro, pero en la pestaña General , elimine cookies y archivos en la sección Archivos temporales de Internet . En la versión 8 del Internet Explorer esto está simplificado, como desde hace rato lo hace Firefox ; alcanza con ir a Seguridad> Eliminar el historial de exploración.

En Firefox , como dije, toda esta operación es más sencilla: basta apretar Mayúsculas+Ctrl+Supr y elegir los elementos por borrar.

Es particularmente importante eliminar también cookies y archivos temporales. En manos de un experto, estos archivos pueden revelar contraseñas, nombres de usuario y otros datos sensibles.

7. ¿Va a chatear en una PC pública? OK, no hay problema, siempre y cuando verifique antes que el mensajero no está guardando un registro de todo lo que escriben usted y sus interlocutores. En el caso del Windows Live Messenger esto se controla por medio de Herramientas> Opciones> Mensajes> Historial de mensajes . Por supuesto, y como en cualquier otro servicio, recuerde cerrar sesión antes de retirarse.

Para muchos lectores de esta columna, posiblemente la mayoría, estas reglas son bien conocidas. Pero no me cabe duda de que conocen varias personas que las ignoran y, así, ponen en riesgo su identidad, patrimonio y privacidad toda vez que usan una computadora pública. Si es así, páseles el link de este breve recetario.