El espionaje en nuestros dispositivos: una realidad (a veces) consentida

Analizamos las principales actividades que utilizan ciberdelincuentes y empresas para sacar el máximo partido de la información que compartimos y proponemos algunas medidas para evitar que estos datos supongan un problema de seguridad.

Hablamos de un tema y “mágicamente” aparecen en nuestro smartphone anuncios relacionados con una conversación. Parece magia, aunque en la “vida real” a veces nos llaman por teléfono sin motivo aparente sin recordar que días atrás hemos dejado nuestros datos para participar en un sorteo de un viaje, por ejemplo. La seguridad es una tarea exigente que empieza por no aceptar ciertas condiciones. 

El titular de este artículo puede parecer un tanto sensacionalista, pero en la práctica es básicamente así. Es habitual que nos encontremos en aplicaciones de uso frecuente con anuncios publicitarios que, milagrosamente, están relacionados con conversaciones que hemos tenido sin que ni siquiera hayamos hecho una búsqueda en nuestro terminal. Sí, tan solo hablando al lado del móvil, se identifican palabras clave o temas de posible interés que se usan para alimentar los motores de “inyección” de anuncios en las redes sociales, resultados de búsquedas o portales de e-Commerce.

Otras veces, sí que hay una correlación entre lo que buscamos y los anuncios publicitarios en Instagram, en las páginas de buscadores o en otras redes sociales como Facebook o portales de e-Commerce como Amazon. Sea como fuere, es bastante evidente llegar a la conclusión de que nuestro teléfono nos “espía” en mayor o menor medida.

Las cookies: la primera “en la frente”

En un primer nivel de permisividad ante el espionaje están las cookies. Las cookies son archivos que se almacenan en nuestros dispositivos con datos sobre nuestra actividad que se usan para “rastrearnos”. Si consentimos en el uso de la cookies, lo cual es habitual cuando accedemos a portales web, estaremos invitando a entrar a un vampiro en casa.

Generalmente son inofensivas en cuanto a potenciales hackeos se refiere, pero pueden ser usadas por los hackers para usurpar tu identidad si te las roban y las instalan en sus navegadores hasta el punto de loguearse en tus cuentas automáticamente. La forma de robar estas cookies puede ser tanto a través de, por ejemplo, extensiones en el navegador, como interceptando tráfico de red en una Wi-Fi pública, por ejemplo.

Cookies

Los anuncios son solo una parte del problema

Si bien puede ser un tanto “molesto” saber que empresas como Google, Facebook o Amazon usan nuestros datos para alimentar sus algoritmos de recomendación y sus bases de datos con segmentación de usuarios, lo cierto es que, de un modo u otro, hemos dicho que sí a estas condiciones cuando marcamos con la señal de conformidad los pliegos de condiciones que aparecen cuando instalamos una app o configuramos un teléfono móvil.

No es que queramos restar importancia a este hecho, pero en el fondo es “parte del juego” e incluso hay situaciones en las que las recomendaciones sobre productos y servicios o apps que aparecen en la publicidad insertada en nuestras redes sociales y apps son acertadas y convenientes.

Ejemplo: Instagram

Hemos estado explorando las opciones de Instagram en cuanto a seguridad. Lo cierto es que, si vamos al panel de control y revisamos las opciones de privacidad y seguridad, encontramos bastante transparencia en cuanto a cómo impedir que los anunciantes obtengan información sobre nuestra actividad. Facebook – Instagram, por desgracia, tienen un conjunto de cookies y datos que son “necesarios” para su funcionamiento. Aquí habrá que fiarse y creernos que estos datos son solo para uso interno (a falta de que alguien hackee los servidores de estas empresas, claro).

Por otro lado, hay clausulas que hablan de que, si hemos dado permiso a una empresa para usar nuestros datos, Instagram dará por buena la autorización dada a esa empresa para trackear nuestra actividad. Aquí bien podría haberse dejado la opción de que el usuario elija o la de hacer que prevalezca la opción de privacidad más fuerte, eso sí.

vpn seguridad

Si nuestra cuenta es profesional, o tenemos “muchos seguidores”, Instagram también asume que queremos compartir los datos con empresas. Otro punto un tanto cuestionable. Cuando hablamos de Instagram, hablamos de Facebook, claro está. O Meta, si hacemos uso de su flamante nombre.

Tenemos opciones para limitar la aparición de anuncios relacionados con temáticas como el alcohol o mascotas, política o temas sociales, por ejemplo. Limitar, que no hacer desaparecer completamente. Y también podemos ver el log de nuestras interacciones con los anuncios que se insertan en el feed de la red social o en las stories.

Así pues, no es que estemos totalmente indefensos frente al acceso a nuestra actividad en estas redes sociales. Siempre podemos hacer que nuestra cuenta sea privada, lo cual añade un plus de privacidad, valga la redundancia, a costa de limitar la visibilidad en Instagram, que es el ejemplo que hemos usado para profundizar un poco en las opciones de privacidad.

Una de cal y otra de arena

Si sirve de consuelo, hay que señalar que los algoritmos de estos motores de recomendación y captación de datos no son demasiado “inteligentes”. Sin ir más lejos, en un caso como el de un periodista que está redactando artículos de diferentes temáticas, las redes sociales y apps se llenan de recomendaciones que no interesan para nada. A poco que estos algoritmos fueran realmente “listos”, sabrían que soy un periodista y que no necesariamente todo lo que busco me define como potencial usuario o comprador.

De todos modos, sí que hay ocasiones en las que podemos ser objeto de espionaje no consentido en nuestros terminales, con consecuencias más serias para nuestros datos o nuestras finanzas o incluso para la integridad de nuestros dispositivos. Generalmente, estos casos están relacionados con el uso fraudulento de nuestros datos de actividad por parte de terceros.

Este uso fraudulento puede venir por hackeos en los servidores de empresas como Google, Microsoft, Facebook o cualquier otra donde accedamos con nuestras credenciales. O por el robo de datos en nuestros propios equipos, como puede ser el de las cookies de nuestros navegadores, o las contraseñas si las tenemos expuestas en archivos de texto, por ejemplo.

Poniendo coto a la intrusión en nuestros dispositivos

El “temazo” aquí es el de evitar que nuestra actividad en los dispositivos que usemos sea usada en nuestra contra tanto para acceder a nuestros datos financieros como para comprometer la integridad de nuestros dispositivos mediante técnicas como el ransomware, que suele acompañarse de sobornos.

Por ejemplo, si nuestras cookies son interceptadas por una extensión de un navegador o por un sniffer de tráfico de red, puede que un hacker acceda a nuestra cuenta y se haga pasar por nosotros. Es lo que sucede cuando alguien avisa a sus contactos sobre que “mi cuenta ha sido hackeada y están enviando un mensaje con un enlace pero no he sido yo, no pinchéis”.

El hacker accede a nuestra cuenta de Facebook, por ejemplo, y manda un mensaje a todos los contactos con un enlace a una web fraudulenta que puede tomar control sobre nuestro dispositivo instando un programa que envíe, ahora sí, datos sensibles al hacker en cuestión, o instale algún troyano que sirva para loguear nuestras pulsaciones de teclado o encriptar nuestros dispositivos a modo de ransomware.

Qué hacer

La clave está en ser cuidadosos y hacer una revisión profunda de nuestra seguridad. En algunos casos, son las propias empresas como Google o Apple las que dejan la puerta abierta a brechas de seguridad. Un ejemplo: un hacker accede a nuestra cuenta de Google interceptando o robando cookies de acceso. Se loguea con nuestra identidad y resulta que tenemos una tarjeta de crédito asociada a Google Play.

Este usuario-hacker puede acceder a un mercado alternativo, pero incluido en Google Play de facto, de apps fraudulentas cuyo único fin es el de contratar servicios aparentemente legales, pero cuyo único fin es el de transferir dinero de nuestra cuenta a la cuenta asociada a este servicio fraudulento. El hacker borra todo rastro de confirmación de compra en Google Play y da de baja el servicio al cabo de unos días. Si el usuario no comprueba la actividad en su cuenta bancaria, bingo para el hacker.

Google, de hecho, ha sufrido este tipo de brecha de seguridad con apps incorrectamente clasificadas como legales pero destinadas únicamente a robar dinero de las cuentas bancarias de los usuarios. Recuerda que todo puede venir originado por el robo de unas cookies con información de acceso a una cuenta de Google o Facebook o Amazon.

Lo que podemos hacer pasa primero por acudir a portales como ‘;–have i been pwned? donde podemos comprobar si nuestro mail o nuestro teléfono han sido objeto de brechas de seguridad en diferentes servicios y portales web.

vpn seguridad

Independientemente de que hayamos sido objeto de filtraciones en algunos portales o servicios, es conveniente revisar las extensiones que hayamos instalado en nuestros navegadores. Si tiendas de apps como las de Google o Apple son objeto de brechas de seguridad, imagina las extensiones de un navegador, que funcionan básicamente como apps. Si damos permisos de acceso sin mirar qué hacemos, una extensión puede hacer prácticamente de todo en nuestro equipo.

Por otro lado, es conveniente eliminar las cookies de navegación con cierta frecuencia. Posiblemente eso haga que tengamos que volver a introducir nuestros datos de acceso a portales y servicios en vez de entrar automáticamente, pero precisamente se trata de esto. La seguridad viene asociada a cierto grado de “incomodidad”.

Por supuesto, usa contraseñas seguras y añade autenticación de doble factor, al menos en tus cuentas más sensibles como Google, Facebook, Microsoft, Instagram, Linkedin, Twitter, etcétera. En las cuentas bancarias también. La autenticación de doble factor es un “coñazo”, pero si quieres seguridad, es mejor acostumbrarse a este tipo de “inconvenientes”. Como mucho, usa una aplicación con una buena reputación para almacenar tus contraseñas a modo de password manager. En el caso que nos ocupa, tenemos Kaspersky Password Manager con funciones como teclado virtual para evitar a los keyloggers. Pero puedes usar otros.

Usa navegadores seguros para acceder a portales “dudosos”. Tor Browser o Firefox Focus son dos opciones en las que se limita mucho el apartado del acceso a nuestros datos desde las webs a las que accedemos.

VPN Seguridad

Usa una VPN. Esta medida es especialmente interesante para evitar que el tráfico de red sea interceptado. Por supuesto, que sea una VPN “legal”. Si usas una VPN administrada por ciberdelincuentes tienes un problema. Nosotros usamos NordVPN donde encontramos desde el tráfico cifrado, que evita precisamente que nuestros datos sean interceptados en nubes públicas

También ofrece una velocidad elevada en las conexiones, no registra nuestra actividad, protege tanto equipos de sobremesa como dispositivos móviles, oculta la propia VPN frente a los servidores a los que accedemos, no expone nuestros datos, podemos navegar al mismo tiempo usando el túnel VPN y la conexión local, ofrece IPs dedicadas, bloquea software malicioso y anuncios, etcétera. El uso de una VPN añade una capa de seguridad en el tráfico de red a modo de “auditor” de la actividad online en tiempo real.

VPN Seguridad

Ojo con lo que instalas. En este caso, hay opciones que no siempre se conocen que permiten instalar una app en un entorno “Sandbox”. Mismamente las versiones Pro de Windows 10 y Windows 11 cuenta con la opción de Sandbox o Espacio aislado de Windows donde se abre un escritorio que se ejecuta sobre una máquina virtual ligera donde podemos abrir cualquier archivo sospechoso o acceder a portales supuestamente peligrosos sin que afecte a nuestros archivos locales o la memoria del sistema.

Estate atento a cualquier cambio en tu actividad, ya sean notificaciones o mensajes. Si dejas de recibir correos sobre actividad en tus cuentas, o recibes un mensaje pidiendo confirmación para acceder a tus cuentas sin que hayas realizado un intento de conexión, puedes ser objeto de un ataque. Puede parece obvio, pero a veces decimos que Sí a todo sin pensar.

No tengas tarjetas de crédito asociadas a automáticamente a cuentas como Amazon o Google. Si compras habitualmente sí, siempre estando atento al banco y a los mensajes sobre compras en esos portales, claro está. Si compras esporádicamente, mejor si añades los datos de la tarjeta cada vez que compres algo o te des de alta. Es tedioso, pero es mejor que tener que reclamar una compra no deseada. Si compras esporádicamente posiblemente no tengas el hábito de mirar con frecuencia la actividad de la tarjeta o las notificaciones sobre compras online.

Si te das de alta en servicios de prueba, recuerda deshabilitar la renovación automática del servicio una vez pasado el periodo de prueba. Esto no tiene que ver con la seguridad propiamente dicha, pero es un consejo útil. Si anulas la renovación automática, no te darás de baja automáticamente e inmediatamente en el servicio que estés probando, tranquilo.

La seguridad, una responsabilidad

La seguridad, a medida que delegamos más y más responsabilidades en nuestros dispositivos, empieza a ser una responsabilidad que hay que gestionar tomando precauciones en diferentes aspectos: desde las contraseñas seguras y la doble autenticación hasta la lectura de las políticas de cookies y EULAs o el uso de herramientas de terceras partes como gestores de contraseñas fiables, navegadores seguros y VPNs.

Las VPNs, de hecho, llevan camino de ser el nuevo “antivirus” si nuestra actividad en la red contempla el uso de datos sensibles, el acceso desde diferentes ubicaciones fuera del entorno de la oficina en escenarios como el tele trabajo o movilidad habitual.

La seguridad, por otro lado, conlleva algunas incomodidades, como prescindir de extensiones en los navegadores, no automatizar el acceso a servicios y portales como los de Google o Microsoft o Facebook, añadir autenticación de doble factor, etcétera. Pero, a cambio, estaremos más tranquilos y “dormiremos mejor”.