Amenaza #1: el IE
En el informe más reciente generado conjuntamente por el FBI y por la firma de seguridad SANS Institute (http://www.sans.org/top20), el Internet Explorer encabezó la lista de los objetivos de ataques a la seguridad en la Internet. Una razón es que como se trata del navegador más utilizado, IE ofrece la mayor recompensa para los piratas que deducen cómo aprovecharse de sus defectos.
El peor problema del IE es que confía en la tecnología ActiveX de Microsoft, que permite a los sitios de la Web ejecutar programas en una PC por medio del navegador. Las mejoras y parches de seguridad, entre ellos el Service Pack 2 de Windows XP y el recientemente presentado IE 7, hacen a ActiveX más seguro, pero los defectos inevitables que permiten a los programas maliciosos burlar esas medidas de seguridad –combinados con la realidad de que los usuarios frecuentemente somos muy ingenuos– convierten a ActiveX en un riesgo que no vale la pena correr. Por suerte, con muy pocas excepciones (como el sitio Windows Update de Microsoft), usted puede navegar la Internet tranquilamente sin tener que depender de ActiveX.
Para inutilizar ActiveX en IE 6 y 7, escoja Herramientas•Opciones de Internet•Seguridad•Nivel personalizado, desplace la lista hasta ‘Ejecutar controles y complementos de ActiveX’ y seleccione Deshabilitar. Para cerrar los cuadros de diálogo pulse Aceptar, Sí y Aceptar. Para activar ActiveX en un sitio conocido y de confianza, pulse Herramientas•Opciones de Internet•Seguridad, escoja Sitios de confianza, pulse Sitios, escriba la dirección del sitio en el cuadro de texto y pulse Agregar. Desactive la casilla que dice ‘Requerir comprobación del servidor (https:) para todos los sitios de esta zona’ y pulse Cerrar, seguido por Aceptar.
Si deja ActiveX habilitado, podrá toparse rápidamente con sitios y mensajes de correo portadores de programas maliciosos que le piden que instale controles de ActiveX en su sistema. A menos que usted esté 100 por ciento seguro de que el control es seguro y legítimo, no lo permita.
Independientemente del programa que tenga como navegador predeterminado en su sistema, mantenga siempre a Windows (y al IE) actualizados para reducir el riesgo. Para mantener Windows XP al día, visite update.microsoft.com (tendrá que usar Internet Explorer) e instale el Service Pack 2, si no lo tiene ya. A continuación, escoja Inicio•Panel de control•Sistema y pulse la pestaña de Actualizaciones automáticas. Si confía implícitamente en Microsoft, seleccione Automático (recomendado); si confía en la compañía sólo un poco, entonces seleccione Descargar actualizaciones por mí, pero permitirme elegir cuándo instalarlas; o para el método más seguro, Notificarme, pero no descargarlas automáticamente ni instalarlas.
Después de escoger cualquiera de las opciones, pulse Aceptar para bajar e instalar los parches de seguridad más recientes. Si se queda con IE, actualícese a la versión 7, que tiene mejor seguridad para ActiveX. Sin embargo, la mejor manera de reducir la vulnerabilidad de su PC a los ataques de ActiveX es bajar e instalar otro navegador y hacerlo su navegador predeterminado. Mozilla Firefox es la alternativa más popular al IE. Desafortunadamente, la creciente popularidad de Firefox ha llamado la atención de los autores de programas maliciosos que ahora se aprovechan de los defectos de ese SO. Aunque ningún programa es perfectamente seguro, muchos expertos (entre ellos yo) creen que el navegador de Opera es más seguro que el IE o que Firefox.
Amenaza #2: Phishing y robo de identidad
Usted probablemente ha visto ya bastante ataques de phishing, que vienen disfrazados como comunicaciones de su banco, PayPal, eBay u otra cuenta en línea. El mensaje puede pedirle que pulse un vínculo que le llevará a una página falsa de la Web, adornado con nombres de usuario y campos de contraseña que parecen reales, o podría pedirle un número de tarjeta de crédito. La dirección falsa frecuentemente se parece al URL de la institución verdadera (por ejemplo, ‘citibank.sitiofalso.com’ en lugar de ‘citibank.com’). El mensaje de correo electrónico y el sitio del remitente fraudulento incluso pueden cargar las imágenes de su banco, o tener vínculos al propio sitio Web de la institución.
Cuando usted muerde el anzuelo, los phishers cosechan sus datos y los venden a otras personas o los usan inmediatamente para dejarle vacía su cuenta. Una variante llamada “spear phishing” le identifica a usted por su nombre en el mensaje o sitio de la Web señuelo, lo que hace la farsa mucho más difícil de reconocer. El “typo-squatting” es un truco relacionado donde los phishers establecen un sitio falso con una dirección ligeramente distinta a la verdadera ('www.amazom.com’ en vez de ‘www.amazon.com’, por ejemplo) con la esperanza de que los clientes que escriben muy rápidamente cometan un error tipográfico y aterricen allí sin notar la equivocación.
Usted quizás haya leído que su banco nunca le enviaría un correo electrónico para pedirle que acceda a su cuenta, y no debería hacerlo, aunque sucede de vez en cuando. La gran mayoría de los mensajes que parecen venir de instituciones financieras son ataques de phishing; por eso suponga siempre que tales mensajes son falsos y no los abra, y no se le ocurra pulsar los vínculos que contienen. Si le preocupa que el banco u otro servicio realmente esté tratando de avisarle de algún problema con su cuenta, abra su navegador manualmente y acceda el sitio directamente, o mejor aun, levante el teléfono y llame a un agente de servicio al cliente (si es que puede encontrar alguno en el sistema telefónico automatizado del banco).
El lugar que probablemente le dirá que su tarjeta de crédito o cuenta de banco ha sido comprometida por un robo de identidad o ataque de phishing es la declaración que recibe por correo. Revísela cuidadosamente para ver si hay cargos no autorizados, e infórmelo a la institución inmediatamente.
Tanto IE 7 como Firefox 2 incluyen nuevas configuraciones antiphishing que pueden comparar los vínculos con las bases de datos de sitios de phishing conocidos antes de mostrar la página (cuando íbamos a imprenta, Opera planeaba incluir una característica similar en Opera 9.1). Durante la instalación, IE 7 le pregunta un par de veces si quisiera activar su filtro de phishing; responda que sí. Para activar esta función, escoja Herramientas•Filtro de suplantación de identidad (phishing)•Activar la comprobación automática de sitios Web y pulse Aceptar.
El filtro de phishing de Firefox 2 viene preactivado, pero usa una lista estática de sitios de phishing conocidos. Para utilizar en lugar de éste el servicio Phishing Protection de Google, que está más actualizado, escoja Herramientas•Opciones•Seguridad y seleccione Comprobar preguntándole a Google sobre cada sitio que visito. Sepa que tendrá que aceptar el convenio de licencia del servicio.
Muchos cortafuegos y otros programas de seguridad incluyen funciones de protección de identidad que revisan la corriente de datos que sale de su PC para ver si tiene información confidencial, como contraseñas o números de tarjeta de crédito y de seguridad social, y entonces bloquean las transferencias no autorizadas. Para más información sobre estos productos, vea “Seguridad integral”.
Resista la tentación de publicar información personal en su página de la Web, bitácora o cuenta de Face-book o de MySpace. Los ladrones de identidad, remitentes de correo indeseado y depredadores en línea buscan constantemente este tipo de información. Navegue hasta pcworld.es para ver una explicación de los riesgos que corren tanto los adultos como los niños, y consejos sobre lo que puede hacer para evitar estos peligros.
Amenaza #3: Programas maliciosos
Todos los días, los creadores de virus, programas espías y programas publicitarios salen con maneras nuevas e ingeniosas de penetrar en su PC. Estos pasos le ayudarán a mantenerse seguro:
Piense antes de pulsar: Los archivos adjuntos que terminan con las extensiones .exe, .com, .bat y .scr, además de los archivos de documentos capaces de ejecutar guiones, incluso .doc y .xls, pueden infectar su PC con un solo pulso. Muchos programas de correo electrónico bloquean el acceso a los archivos ejecutables.
Use un filtro de correo indeseado: Aunque algunos programas maliciosos se cuelan en su computadora después de secuestrar su navegador, el correo electrónico es la otra fuente principal. Instale un filtro de correo basura para reducir las oportunidades de activar guiones maliciosos intercalados en los mensajes.
Actualice su software antivirus: Dejar que su software antivirus siga ejecutando después de que la suscripción caduca es realmente peor que no usar ningún antivirus: no solamente carece de la base de datos de virus actualizada, sino que expone su sistema a los programas maliciosos que atacan los defectos conocidos en los programas antivirus. Mi aplicación antivirus personal favorita es AVG Anti-Virus Free de Grisoft.
Busque una segunda opinión: Instale y use un solo programa antivirus a la vez en su computadora porque si hay varios analizadores funcionando en tiempo real crearán conflictos entre ellos. Pero si tiene dudas sobre la eficacia de su programa, use un detector de virus gratuito en línea, como el Panda Software ActiveScan o Trend Micro HouseCall.
Bájelo con discreción: Cualquier programa que usted baje y se ejecute en su sistema podría resultar potencialmente en una infección letal o en una PC zombie. Baje software únicamente de fuentes de buena reputación (como la sección de Downloads de PCWorld.com) que revisan primero todos sus archivos para erradicar los programas maliciosos.
Use un cortafuego bidireccional: Windows XP y Vista vienen con un cortafuego que bloquea los ataques que vienen de afuera; está preactivado en Windows XP Service Pack 2 y posterior. Para una mejor protección, también le conviene bloquear las conexiones indeseadas de salida hechas por programas maliciosos en su PC que intentan conectarse a un servidor remoto o enviar spam desde su PC. El cortafuego de Vista puede configurarse para esta función, pero ésta no es una labor para el usuario de Windows promedio. En vez de ello, consiga uno de los varios programas cortafuegos bidireccionales gratuitos, como el ZoneAlarm Free de Zone Labs o el Outpost Firewall Free de Agnitum. La mayoría de los conjuntos comerciales de software de seguridad también incluyen un programa cortafuego.
Use programas de contraespionaje: Los programas publicitarios y espías, así como algunas cookies en el navegador demoran su sistema, ocasionan bloqueos y le siguen los pasos mientras usted navega. Las herramientas de contraespionaje trabajan como su software antivirus, detectando y quitando el software indeseable de su PC. Escogimos Spy Sweeper 5 de Webroot (US$30 al año) como nuestro favorito en nuestra evaluación de “Herramientas de contraespionaje”.
Mejore el XP: El Service Pack 2 hace a Windows XP mucho más seguro, pero el sistema operativo todavía tiene agujeros de seguridad y sigue siendo el principal blanco de los autores de programas maliciosos. Los nuevos controles de acceso de usuario en Windows Vista piden permiso antes de abrir programas nuevos, lo cual reduce las oportunidades de que los programas maliciosos salten automáticamente de la Web a su PC, aunque ya se han encontrado algunos errores en Vista. El Mac OS y Linux ofrecen una seguridad aun más robusta contra el lanzamiento de programas y rara vez son blancos de los ataques de programas maliciosos, por eso es improbable que los ataques iniciados desde la Web –o de cualquier otro tipo– afecten a las computadoras que usan esos sistemas operativos.
Fuente desde PC World.
