Añadimos una capa de seguridad a nuestro correo


Durante los últimos meses se han reportado multiples ataques donde el objetivo principal es ganar control sobre el correo electrónico de la victima. Una vez dentro del correo con unas simples búsquedas la persona que tiene el control sobre nuestro correo sabrá dónde estamos suscritos, pudiendo recuperar la contraseña de esos sitios, hacerse pasar por nosotros, o incluso chantajearnos pidiéndonos dinero para recuperar el control de dicha cuenta.

Aquí dejo por ejemplo dos ejemplos de cosas muy frecuentes y muy peligrosas:


Aquí ya hemos hablado anteriormente de un par de herramientas que nos permiten tener un 2FA o en Español, segundo factor de autentificación. Hablamos en su momento de Google Authenticator y Authy

Un paso más de seguridad, es tener un dispositivo físico que impida el acceso a terceros a nuestra cuenta de correo una vez nuestra contraseña ha sido obtenida. Para eso Google pone varias alternativas y ¡Sorpresa! Es muy económico.  Lo que tenemos que hacer es solamente seguir estos pasos:

  • Ve a tu cuenta de Google.
  • En el panel de navegación de la izquierda, haz clic en Seguridad.
  • En el panel Iniciar sesión en Google, haz clic en Verificación en dos pasos.
  • Haz clic en Empezar.
  • Sigue los pasos que aparecen en pantalla.
Nuestro primer filtro de seguridad es nuestro password. Hay un minipost donde hablamos de contraseñas seguras, revisalo por siacaso. Pero aquí vamos a hablar de un segundo paso (por eso se llama 2fa). Las opciones que tenemos son:

  • Un mensaje de Google a tu teléfono. Cada vez que Google quiera comprobar tu idéntidad te saldrá un mensaje en tu teléfono dónde tendrás que decir si eres tu quien está accediendo a tu correo. Es cómodo, sencillo y gratuito. Yo lo tengo activado.
  • Un SMS o llamada. Pues viene a ser lo mismo, pero hay cierto riesgo. Quizás no tanto en España, pero para el tema de criptomonedas ya se han producido varios ataques de sim swaping
  • La última opción es una llave USB que tenemos que pulsar físicamente en el ordenador que estamos accediendo. Esta es la opción más segura de todas ya que implica tener acceso físico a algo.
  • Algunos móviles tienen una llave USB dentro de su hardware, es el caso por ejemplo del mio, que también lo he activado. 
Lo ideal, desde mi punto de vista es: Activar la primera y tercera opción (la cuarta sería muy similar a la primera, pero en la cuarta parece ser que se juega con el bluetooth y la wifi para que el movil esté muy cercano al lugar desde dónde hace la conexión. Es decir no podrías decirle a alguien que toque la pantalla de tu movil y te de acceso si no estás muy cerca del telefono, se sigue necesitando un acceso físico que salvan con la wifi y el BT que deben estar activados). Y en este caso vamos a hablar de lo fácil y económico que es tener una llave. En Amazon puedes encontrar las siguientes, y basicamente todas son muy similares y vienen a ofrecer lo mismo:

HYPERSECU HyperFIDO Mini (U2F Security Key)

No te compliques. A día de hoy son 5,5€ lo que te permite tener un control físico de tu cuenta . Yo lo que he hecho es tener dos, y las dos activadas. Una la llevo encima, por quiero acceder a mi correo electrónico en el trabajo, y otra en casa. Si perdiera una, con la otra puedo entrar y des-habilitar la perdida. Y solo te cuesta 11€.

Yubico - Llave de Seguridad NFC - USB-A - Llave de Seguridad de autentificación de Dos factores - Azul

Lo siguiente sería llevar una con NFC que debes usar para por ejemplo ciertas aplicaciones del movil (el NFC solo sería válido para móviles con esta tecnología u ordenadores con lector de NFC). El precio es infinitamente superior y tampoco nos ofrece mucha más seguridad, sin embargo es una opción más.

Si quieres ver todos los productos disponibles, entra en este enlace: Todos los dispositivos

Y la gran duda es:

Imagina que no tienes acceso a tu teléfono, no tienes acceso a tu llave 2fa, y debes si o si acceder a tu cuenta de google, para por ejemplo desactivar esos métodos de acceso. Google pone a tu disposición unos códigos de un solo uso, imprimibles que puedes usar como 2fa en el caso de que no tengas ninguna otra opción. Estos códigos solo pueden generarse si tienes el 2fa activado:


  • Ve a tu cuenta de Google.
  • En el panel de navegación de la izquierda, haz clic en Seguridad.
  • En "Iniciar sesión en Google", haz clic en Verificación en dos pasos.
  • En "Códigos de seguridad", haz clic en Configuración o Mostrar códigos. Puedes imprimir los códigos o descargarlos.

La opción "Códigos de seguridad" solo se muestra si la verificación en dos pasos está activada. Si la opción "Usar tu teléfono para iniciar sesión" está activada, deberás desactivarla para habilitar la verificación en dos pasos.

Si crees que te han robado los códigos de seguridad o ya no te queda ninguno, selecciona Obtener códigos nuevos. Tu conjunto de códigos anterior quedará inactivo automáticamente.

Guarda esos códigos en un lugar muy seguro, puedes incluso partirlos en varios trozos y usar el esquema secreto de Shamir, del que hablaremos en unas semanas.

Dudas y cuestiones, en Telegram.
Trezor Hardware Wallet
Ubicación: China

Comentarios

Publicar un comentario

Popular!

Comprar Bitcoin en Exchangue sin KYC

Imagen
 KYC o, Know Your Customer es el proceso de identificación de las personas que acceden a un servicio. En este caso hablamos de un exchangue de Criptomonedas. La mayor parte de los Exchangues piden KYC, pero algunas jurisdicciones como Suiza, no piden KYC. Así mismo, muchos Exchangues, por no decir todos son Exchangues con custodía, es decir puedes comprar, vender y conservar allí tus monedas. Pero hay salvedades. Getbittr  es un Exchangue que por la jurisdicción en la que actúa no pide KYC. Aunque la forma de pago implica que van a tener información tuya, no tienes porque dar tu DNI ni dirección. Los datos de tus transacciones con ellos los guardan durante 10 años. Getbittr  es un Exchange sin custodia. ¿Cómo funciona? Realizas un registro en el que vinculas tu dirección de correo, con una dirección de bitcoin, con una cuenta bancaria. Cada vez que tu realices una transferencia, una vez recibido el dinero, verá el precio de mercado, hará la compra y procederá a hacer el envío de tu com
Leer más

¿Mi ayuda te parece relevante? Si es así, lee:

 Si mi ayuda te parece relevante no te voy a pedir que me hagas donaciones (aunque hay un enlace por ahí en el blog ni te lo pego aquí). Solo te pido que si vas a comprar un Hardware Wallet uses uno de los siguientes referidos.  Para comprar un Safepal S1 Para comprar Trezor: Model T Model One Para comprar Ledger: Nano S Nano X    
Leer más

Seguimos con Ropsten, ahora en MyCrypto

Imagen
 MyCrypto es una popular página que se derivó del equipo inicial de Myetherwallet, otra página igualmente buena.  La web oficial es esta: https://www.mycrypto.com/ (comprueba tu mismo que es la correcta cuando entres). Pero inmediatemente te pide que vayas a https://app.mycrypto.com/dashboard que tiene un bonito dashboard: Deberías guardar esta página en marcadores una vez tengas la certeza de que es la correcta y solo acceder a través de ella. Como comentamos anteriormente vamos a operar esta vez sin tener que pasar por Metamask, esto puede ser útil cuando queremos hacer una operación desde un ordenador que no es nuestro. Para ello primero conectamos el Trezor al ordenador y lo dejamos estar. Acto seguido vamos a MyCrypto y le damos a: Nos va a preguntar como nos gustaría acceder a nuestros fondos y aunque podríamos usar Metamask y ya lo tenemos todo listo, ahora yo quiero usar directamente el Trezor y MyCrypto. Seleccionamos Trezor (O Ledger) y pasamos a la siguiente pantalla.  Impor
Leer más