5 consejos para proteger tu información personal, según un hacker de 'sombrero blanco'

Mi nombre es Frank Villani. En pocas palabras, mi trabajo es probar lo que aquellos de nosotros en la industria llamamos IOT: 'el Internet de las cosas' que encapsula todo lo que esté conectado a Internet.

Estas cosas van desde Alexa de Amazon y timbres de video hasta computación en la nube y software para asegurarse de que sean seguros.

A menudo, hago esto replicando las acciones de un hacker informático malintencionado para buscar contramedidas para proteger un sistema. Mucho de lo que hago es pintar imágenes de lo que podría suceder y evaluar los riesgos que están involucrados si sucede.

Soy lo que llamarías un hacker de 'sombrero blanco'

Trabajo para una empresa en Nueva Jersey donde mi trabajo es proteger a la organización, así como sus activos y clientes. No busco ganancias, notoriedad o popularidad. Es más como una búsqueda del tesoro para mí. Al final, si lo hago bien, hice mi trabajo, así que me doy una palmadita en la espalda y sigo adelante.

Los piratas informáticos de 'sombrero gris' pueden violar los estándares éticos, pero no tienen ninguna intención maliciosa. Es el hacker de 'sombrero negro' el más conocido en televisión y cine.

Estos son los tipos que irrumpen maliciosamente en la seguridad informática para beneficio personal. Quieren arruinar la reputación y robar dinero, como cuando Garmin se vio comprometido recientemente.

Leer más: Facebook duda sobre la continuidad de su negocio en Europa si Irlanda prohíbe finalmente las transferencias de datos de sus usuarios a EEUU.

Mis días van desde la creación de sistemas para tratar de atrapar a las personas que intentan poner en peligro nuestros sistemas, el parcheo de cumplimiento (el proceso de implementación de actualizaciones de software para ayudar a resolver fallas de seguridad críticas o vulnerabilidades que podrían ser explotadas por los atacantes) y el 'buceo en la basura', que se refiere a la recuperación información que podría usarse para llevar a cabo un ataque a una red informática como Post-its con contraseñas escritas en ellas, o el número de tarjeta de crédito de un cliente en un papelito.

También realizo auditorías internas e incluso recupero los portátiles de la empresa que la gente ha dejado tirados en la oficina.

Tengo 53 años y he trabajado en tecnología de la información durante 24 años y en seguridad informática durante 12

Inicialmente, obtuve mi certificación CISA (Auditor certificado de sistemas de información) que debe ser recertificada cada 3 años, así como mi Certificación CISM (Administrador certificado de seguridad de la información), un examen de 4 horas que requirió 3 años de trabajo, un año en TI y 8 meses de estudio.

Ambas certificaciones son de ISACA, la Asociación de Control y Auditoría de Sistemas de Información, una asociación global enfocada en el gobierno de TI.

Mis credenciales requieren que cumpla con las leyes o políticas locales y federales como primera prioridad y luego con la política de la empresa. A continuación, voy a obtener una certificación de riesgos.

Leer más: Así se internacionaliza IriusRisk, la startup de unos hackers éticos convencidos de que se puede ahorrar mucho si se piensa en ciberseguridad antes de empezar a programar.

Antes de trabajar en TI, trabajé en la industria hotelera y minorista. En la década de 1990, los ordenadores estaban empezando a verse en muchas empresas, y como el chico nuevo recién salido de la universidad, yo era el que siempre tenía que lidiar con los problemas tecnológicos, ya que nadie quería lidiar con eso.

Recuerdo que en ese momento trabajaba en el Holiday Inn y me encargaba de preparar nuevas reservas de hotel. Estábamos haciendo la transición de los viejos terminales de pantalla verde a Windows 95. Pasé una buena cantidad de tiempo mostrando a mis colegas mayores cómo usar un ratón.

Antes de siquiera considerar una carrera en TI, tenía 23 años y trabajaba como gerente asistente en Walgreens. Fue entonces cuando logré atrapar una estafa de contrabando de cigarrillos en la tienda.

Lo hice analizando la parte del cajero del esquema, lo que significa que estaba mirando discretamente por encima de su hombro para obtener información de lo que estaban haciendo.

Leer más: Los obstáculos que tienen las empresas para demostrar cuando es el propio trabajador el que ciberataca, según una fiscal especializada en Delitos Telemáticos.

También revisé las transacciones que estaban falsificando, monitoreé su lenguaje corporal y tomé notas que llevaron a su arresto. El gerente regional de la empresa me otorgó el premio al Empleado del año en prevención de pérdidas.

Más tarde, cuando trabajaba en TI, el sistema de la empresa me alertó de que un contratista que trabajaba para mí estaba visitando sitios pornográficos.

Lo comprobé, mi curiosidad apareció y comencé a investigar. Resulta que esta persona estaba usando uno de mis servidores de prueba para comprar insignias y uniformes del gobierno en Etsy.

Tras una mayor investigación, descubrí que guardaba fotos de puentes y embalses de NYC-NJ escondidas dentro de algunas carpetas anidadas y también estaba buscando opciones de alquiler de vehículos. Todo esto fue posterior al 11 de septiembre y terminó siendo deportado por el FBI.

La gente no se da cuenta de la cantidad de información personal que comparte

Puedo piratear a alguien en las redes sociales en unos 5 minutos usando la información que comparten. Es una especie de combinación de ingeniería social y forzar cerraduras de la vieja escuela.

Podría publicar en mis redes sociales que tengo un cachorro y necesito algunas ideas para los nombres de los perros y preguntar cómo la gente llama a sus perros. ¿Sabes cuántas personas usan el nombre de su mascota como contraseña y ahora tengo acceso a eso?

Hay muchas formas en que los piratas informáticos pueden acceder a tu información personal y causar estragos en tu vida.

Aquí hay algunas tácticas comunes a las que debes estar atento:

1. No uses Wi-Fi público a menos que solicite credenciales o consentimiento

Supongamos que estás en la fila del banco y, mientras esperas, decides iniciar sesión en tu aplicación bancaria para verificar tu saldo. Inicias sesión en el Wi-Fi para acceder a tu cuenta bancaria y ves un servidor Wi-Fi con el nombre del banco. Lo usas porque imagina que su servidor bancario es seguro.

¿Adivina qué? A menos que ese servidor solicite tus credenciales o consentimiento, es probable que sea una trampa. Podría ser yo mismo sentado en mi coche y haber creado un servidor falso usando el nombre de tu banco para ingresar a tu cuenta.

2. Sé consciente de tu entorno

Los piratas informáticos se aprovechan de los lugares donde la gente baja la guardia. Una trampa común es colocar un espejo sobre el cajero automático, lo que les permite ver tu número de PIN y acceder a tu cuenta, por lo que siempre busca algo sospechoso antes de ingresar el número.

También es común que los piratas informáticos agreguen skimmers, clonadores de tarjetas, en las estaciones de servicio robando tu información, por lo que para protegerte siempre paga con tarjeta de crédito en lugar de usar una tarjeta de débito, especialmente para las comodidades de las estaciones de servicio.

3. Estate alerta cuando uses la tarjeta de crédito en lugares públicos

En la actualidad, las cámaras de los teléfonos pueden hacer zoom desde casi 5 metros de distancia, así que ten cuidado y no dejes tu tarjeta de crédito sobre la mesa del restaurante o en el cajero, donde alguien podría sacar una foto y luego hacer zoom para robar el número de la tarjeta.

4. Cambia tu contraseña cada 45 días

El mayor error que cometen las personas es sentirse cómodas y mantener las mismas contraseñas durante largos períodos de tiempo. Realmente deberías cambiar tu contraseña cada 45 días y establecer frases de contraseña en lugar de contraseñas porque son más difíciles de piratear.

Además, no uses ninguna aplicación de recordatorio de contraseña porque todas pueden verse comprometidas.

La forma más segura de mantener una lista de tus contraseñas es crear una hoja de cálculo de Excel protegida por contraseña. Solo recuerda no imprimirla porque no sabes en qué manos podría terminar.

5. Sé consciente de tu línea de acceso

Si usas aplicaciones de pago como Venmo, PayPal y Zelle, es importante que sepas cuántos puntos de acceso existen a tu cuenta bancaria.

Enlaza esas aplicaciones a la tarjeta de crédito en lugar de a la cuenta bancaria y luego asegúrate de monitorear regularmente las tarjetas para detectar cualquier actividad fraudulenta.

6. No cedas fácilmente tus permisos

Todas las aplicaciones, desde Angry Birds hasta TikTok, solicitan a los usuarios que acepten permisos que, en efecto, pueden renunciar a tu derecho a la privacidad en cosas como ubicación, cámara y micrófono.

Ten en cuenta qué permisos estás otorgando y evita grupos de permisos peligrosos como estos, donde esencialmente se está dando autorización para que una empresa consiga acceso a tu paradero, imágenes y conversaciones.