Añadimos una capa de seguridad a nuestro correo


Durante los últimos meses se han reportado multiples ataques donde el objetivo principal es ganar control sobre el correo electrónico de la victima. Una vez dentro del correo con unas simples búsquedas la persona que tiene el control sobre nuestro correo sabrá dónde estamos suscritos, pudiendo recuperar la contraseña de esos sitios, hacerse pasar por nosotros, o incluso chantajearnos pidiéndonos dinero para recuperar el control de dicha cuenta.

Aquí dejo por ejemplo dos ejemplos de cosas muy frecuentes y muy peligrosas:


Aquí ya hemos hablado anteriormente de un par de herramientas que nos permiten tener un 2FA o en Español, segundo factor de autentificación. Hablamos en su momento de Google Authenticator y Authy

Un paso más de seguridad, es tener un dispositivo físico que impida el acceso a terceros a nuestra cuenta de correo una vez nuestra contraseña ha sido obtenida. Para eso Google pone varias alternativas y ¡Sorpresa! Es muy económico.  Lo que tenemos que hacer es solamente seguir estos pasos:

  • Ve a tu cuenta de Google.
  • En el panel de navegación de la izquierda, haz clic en Seguridad.
  • En el panel Iniciar sesión en Google, haz clic en Verificación en dos pasos.
  • Haz clic en Empezar.
  • Sigue los pasos que aparecen en pantalla.
Nuestro primer filtro de seguridad es nuestro password. Hay un minipost donde hablamos de contraseñas seguras, revisalo por siacaso. Pero aquí vamos a hablar de un segundo paso (por eso se llama 2fa). Las opciones que tenemos son:

  • Un mensaje de Google a tu teléfono. Cada vez que Google quiera comprobar tu idéntidad te saldrá un mensaje en tu teléfono dónde tendrás que decir si eres tu quien está accediendo a tu correo. Es cómodo, sencillo y gratuito. Yo lo tengo activado.
  • Un SMS o llamada. Pues viene a ser lo mismo, pero hay cierto riesgo. Quizás no tanto en España, pero para el tema de criptomonedas ya se han producido varios ataques de sim swaping
  • La última opción es una llave USB que tenemos que pulsar físicamente en el ordenador que estamos accediendo. Esta es la opción más segura de todas ya que implica tener acceso físico a algo.
  • Algunos móviles tienen una llave USB dentro de su hardware, es el caso por ejemplo del mio, que también lo he activado. 
Lo ideal, desde mi punto de vista es: Activar la primera y tercera opción (la cuarta sería muy similar a la primera, pero en la cuarta parece ser que se juega con el bluetooth y la wifi para que el movil esté muy cercano al lugar desde dónde hace la conexión. Es decir no podrías decirle a alguien que toque la pantalla de tu movil y te de acceso si no estás muy cerca del telefono, se sigue necesitando un acceso físico que salvan con la wifi y el BT que deben estar activados). Y en este caso vamos a hablar de lo fácil y económico que es tener una llave. En Amazon puedes encontrar las siguientes, y basicamente todas son muy similares y vienen a ofrecer lo mismo:

HYPERSECU HyperFIDO Mini (U2F Security Key)

No te compliques. A día de hoy son 5,5€ lo que te permite tener un control físico de tu cuenta . Yo lo que he hecho es tener dos, y las dos activadas. Una la llevo encima, por quiero acceder a mi correo electrónico en el trabajo, y otra en casa. Si perdiera una, con la otra puedo entrar y des-habilitar la perdida. Y solo te cuesta 11€.

Yubico - Llave de Seguridad NFC - USB-A - Llave de Seguridad de autentificación de Dos factores - Azul

Lo siguiente sería llevar una con NFC que debes usar para por ejemplo ciertas aplicaciones del movil (el NFC solo sería válido para móviles con esta tecnología u ordenadores con lector de NFC). El precio es infinitamente superior y tampoco nos ofrece mucha más seguridad, sin embargo es una opción más.

Si quieres ver todos los productos disponibles, entra en este enlace: Todos los dispositivos

Y la gran duda es:

Imagina que no tienes acceso a tu teléfono, no tienes acceso a tu llave 2fa, y debes si o si acceder a tu cuenta de google, para por ejemplo desactivar esos métodos de acceso. Google pone a tu disposición unos códigos de un solo uso, imprimibles que puedes usar como 2fa en el caso de que no tengas ninguna otra opción. Estos códigos solo pueden generarse si tienes el 2fa activado:


  • Ve a tu cuenta de Google.
  • En el panel de navegación de la izquierda, haz clic en Seguridad.
  • En "Iniciar sesión en Google", haz clic en Verificación en dos pasos.
  • En "Códigos de seguridad", haz clic en Configuración o Mostrar códigos. Puedes imprimir los códigos o descargarlos.

La opción "Códigos de seguridad" solo se muestra si la verificación en dos pasos está activada. Si la opción "Usar tu teléfono para iniciar sesión" está activada, deberás desactivarla para habilitar la verificación en dos pasos.

Si crees que te han robado los códigos de seguridad o ya no te queda ninguno, selecciona Obtener códigos nuevos. Tu conjunto de códigos anterior quedará inactivo automáticamente.

Guarda esos códigos en un lugar muy seguro, puedes incluso partirlos en varios trozos y usar el esquema secreto de Shamir, del que hablaremos en unas semanas.

Dudas y cuestiones, en Telegram.
Trezor Hardware Wallet

Comentarios

Popular!

¿Mi ayuda te parece relevante? Si es así, lee:

Comprar Bitcoin en Exchangue sin KYC

Seguimos con Ropsten, ahora en MyCrypto