El principio de mínimo privilegio: menos es mas en ciberseguridad

 

¿Qué es el principio de mínimo privilegio y por qué es vital hoy?

El principio de mínimo privilegio (principle of least privilege o POLP) es una regla fundamental de seguridad informática que establece que los usuarios, las aplicaciones y los sistemas deben tener únicamente los permisos mínimos necesarios para realizar sus tareas específicas.

En términos simples, significa que a un empleado se le da acceso solo a la información y herramientas que realmente necesita para su trabajo, y nada más.

Si un usuario tiene menos poder del necesario para causar un desastre, las probabilidades de que un error o un ataque afecten gravemente a la empresa disminuyen drásticamente.

Conceptos clave

  • Acceso Mínimo: Incluso los administradores deben usar cuentas estándar para su trabajo diario y solo elevar sus privilegios cuando sea estrictamente necesario para una tarea administrativa.
  • Confianza Cero (Zero Trust): El principio de mínimo privilegio es un pilar de la estrategia «Zero Trust», donde no se confía implícitamente en nadie y el acceso debe verificarse continuamente.
  • Privilege Creep (Acumulación de privilegios): Este problema ocurre cuando los empleados acumulan permisos innecesarios con el tiempo. El principio de mínimo privilegio combate esto revisando y revocando accesos que ya no se usan.

¿Por qué es tan importante en la actualidad?

Antes las empresas solo se preocupaban por los ordenadores dentro de sus oficinas, pero con el auge del trabajo remoto y los entornos híbridos, la seguridad de cada dispositivo que se conecta a la red es un posible punto de ataque.

El principio de mínimo privilegio ayuda a proteger a las organizaciones de ataques financieros, robo de datos y daños a la reputación causados por ransomware o malware.

Al limitar lo que un usuario puede hacer, se reduce la «superficie de ataque», cerrando puertas que los criminales podrían aprovechar.

Beneficios, mecanismos y desafíos de implementación

Implementar el principio de mínimo privilegio no solo se trata de restringir, sino de equilibrar la seguridad con la productividad, siendo sus principales beneficios:

  1. Reduce el impacto de las brechas: Si un atacante roba las credenciales de un usuario limitado, no podrá moverse lateralmente por la red ni acceder a datos sensibles.
  2. Detiene la propagación de malware: Si un virus infecta una cuenta con pocos privilegios, no tendrá permiso para instalarse en todo el sistema o dañar archivos críticos.
  3. Cumplimiento Normativo: Ayuda a las empresas a cumplir con leyes y estándares internacionales al controlar estrictamente quién ve qué información.
  4. Mejora el rendimiento operativo: Al haber menos errores humanos o aplicaciones no autorizadas instaladas por los usuarios, el sistema sufre menos caídas e incompatibilidades.

¿Cómo se aplica en la práctica?

Existen métodos específicos para que esto funcione de manera fluida:

  • Control de Acceso Basado en Roles (RBAC): Los permisos se asignan según el puesto de trabajo (por ejemplo, «Contable»), no a personas individuales. Es más seguro gestionar grupos que individuos.
  • Acceso justo a tiempo (JIT): Se otorgan privilegios elevados de forma temporal (por ejemplo, durante dos horas) para una tarea específica y luego se eliminan automáticamente.
  • Controles Granulares: Gracias a sistemas modernos, se puede permitir que un usuario vea un archivo pero que no pueda descargarlo ni subir nada nuevo.

Los desafíos que enfrentan las empresas

No siempre es fácil aplicarlo. A veces, las aplicaciones antiguas dejan de funcionar si se les quitan permisos, lo que genera la tentación de dar acceso total.

Además, los usuarios pueden sentirse frustrados si sienten que su productividad baja porque deben pedir permiso para todo.

Es fundamental explicar a los empleados que estas medidas son para protección mutua y que la seguridad es responsabilidad de todos.

Para que el principio de mínimo privilegio sea efectivo, las organizaciones deben modernizar sus herramientas y cuidar especialmente las cuentas con mucho poder.

  • Cuidado extremo con las «Cuentas Privilegiadas»: Existen cuentas llamadas «superusuario», «root» (en Linux/Mac) o «Administrador» (en Windows) que tienen acceso total a todo. Si un hacker entra en una de estas cuentas, puede destruir bases de datos completas o el sistema operativo.

Los consejos de seguridad para estas cuentas son los siguientes:

  • Usar contraseñas largas y complejas que se cambien regularmente.
  • Activar la autenticación de múltiples factores (MFA), que pide dos formas de validar la identidad.
  • Nunca navegar por internet ni abrir correos sospechosos mientras se usa una cuenta de administrador.

Pasos para una implementación exitosa

  1. Auditoría: Revisar qué permisos tienen los usuarios actualmente y compararlos con lo que realmente necesitan.
  2. Pruebas: Antes de aplicar restricciones en toda la empresa, probar los nuevos niveles de acceso en servidores de prueba para corregir errores sin interrumpir el trabajo.
  3. Transición Gradual: Se recomienda un periodo de prueba donde convivan el sistema viejo y el nuevo hasta asegurar que todo funcione bien con los privilegios mínimos.
  4. Capacitación: Enseñar a los empleados por qué se están tomando estas medidas para evitar la resistencia al cambio.

En conclusión, el principio de mínimo privilegio es una medida simple pero poderosa que reduce significativamente el riesgo de desastres digitales en un mundo cada vez más conectado.

Un simple email, una gran infracción: lecciones de una caso de proteccion de datos.

Contexto del Caso y Hechos Probados

La infracción se origina a raíz de una reclamación contra la entidad UNIÓN ATLÉTICA SAN FERNANDO, tras el envío de correos electrónicos masivos a sus socios. En lugar de utilizar la función de «Copia Oculta» (Cco), la organización incluyó las direcciones de todos los destinatarios en el apartado «Para», permitiendo que cada receptor pudiera visualizar los datos de los demás.

Los hechos probados confirman que se realizaron al menos dos envíos:

  • El 30 de agosto de 2024, un correo dirigido a doce destinatarios.
  • El 9 de septiembre de 2024, otro correo dirigido a veinte personas (incluyendo a las doce del envío anterior).

Como consecuencia directa, se revelaron datos personales como el nombre, los apellidos y la dirección de correo electrónico de los socios a terceros no autorizados (el resto de los destinatarios).

Definición Legal de la Infracción

El Reglamento General de Protección de Datos (RGPD) y la normativa española (LOPDGDD) señalan que:

  • Dato Personal: Se considera «dato personal» toda información sobre una persona física identificada o identificable. En este caso, el nombre, los apellidos y la dirección de correo electrónico son identificadores que permiten determinar la identidad del interesado.
  • Tratamiento de Datos: El acto de difundir estos datos a través de comunicaciones electrónicas se clasifica como un «tratamiento», que abarca operaciones como la comunicación por transmisión o difusión.
  • Responsable del Tratamiento: La entidad que envía los correos es responsable de garantizar que dicho tratamiento sea conforme a la ley y de aplicar las medidas técnicas y organizativas adecuadas para proteger la privacidad.

 Vulneración del Principio de Confidencialidad

El incumplimiento principal radica en la violación del Artículo 5.1.f) del RGPD, que establece el principio de integridad y confidencialidad. Según este principio, los datos deben ser tratados de manera que se garantice una seguridad adecuada, incluyendo la protección contra el tratamiento no autorizado o ilícito.

La AEPD sostiene que el uso de la funcionalidad «Para» en lugar de «Cco» en comunicaciones masivas implica que no se preservó una seguridad y confidencialidad adecuadas. El responsable tiene la obligación de evitar accesos no autorizados o la divulgación de datos a terceros, lo cual incluye implementar medidas técnicas apropiadas, como el uso de herramientas que oculten la identidad de los destinatarios en envíos grupales.

Calificación y Gravedad de la Infracción

Bajo el marco jurídico actual, este tipo de falta se considera muy grave:

  • Tipificación: El quebrantamiento del artículo 5.1.f) está tipificado como infracción administrativa en el artículo 83.5 del RGPD.
  • Calificación: La LOPDGDD, en su artículo 72.1.a), califica como «muy graves» las infracciones que supongan una vulneración sustancial de los principios mencionados en el RGPD, como es el tratamiento de datos vulnerando la confidencialidad.
  • Prescripción: Debido a su naturaleza «muy grave», estas infracciones prescriben a los tres años.

Resolución y Medidas Correctivas

En el caso analizado, la Agencia resolvió lo siguiente:

  1. Apercibimiento: Se dirigió un apercibimiento a la entidad por la infracción cometida. Este es un poder correctivo que permite a la autoridad de control advertir formalmente al responsable sobre su incumplimiento.
  2. Orden de Adopción de Medidas: Se requiere a la entidad para que, en un plazo máximo de dos meses, adecue sus procedimientos de envío de correos electrónicos masivos a fin de cumplir con la normativa de seguridad y confidencialidad.
  3. Responsabilidad Proactiva: Corresponde al responsable del tratamiento decidir qué mecanismos concretos implementar (basándose en un enfoque de riesgos) para garantizar que los datos no vuelvan a ser expuestos.

El incumplimiento de las medidas correctivas impuestas por la Agencia tras un apercibimiento puede dar lugar a la apertura de un nuevo procedimiento sancionador más severo.

El enlace: https://www.aepd.es/documento/pa-00012-2025.pdf

 

IA + humanos: La colaboración inteligente

 

La IA como un autómata poderoso pero limitado

La Inteligencia Artificial (IA) se describe como un autómata sin alma, es increíblemente rápida, incansable y poderosa, pero está ciega sin la guía de una mente humana.

Aunque vivimos en una era donde las máquinas pueden escribir, analizar y sugerir, la verdadera inteligencia sigue siendo la capacidad de hacer las preguntas correctas e interpretar señales débiles, algo de lo que la IA carece.

La IA es experta en procesar datos y encontrar correlaciones, pero no tiene intuición, experiencia ni sensibilidad.

No entiende el contexto cultural, no puede «leer entre líneas» y no comprende los intereses estratégicos detrás de una decisión.

Además, la IA es propensa a errores conocidos como «alucinaciones», donde presenta información falsa o inventada como si fuera un hecho real, basándose simplemente en probabilidades matemáticas.

¿Qué es «Human-in-the-Loop» (HITL)?

Para mitigar estos riesgos surge el concepto de Human-in-the-Loop (HITL).

Este modelo coloca a las personas en el centro de la revolución digital.

En lugar de ser meros espectadores, los humanos actúan como colaboradores activos, intérpretes y tomadores de decisiones.

En la práctica, un sistema HITL permite que la IA genere sugerencias o automatice tareas, pero es siempre el ser humano quien verifica, aprueba, corrige o decide si acepta lo que la máquina ha producido.

No es solo una regla operativa, sino una visión estratégica: usar el poder de la IA para aumentar nuestras capacidades, no para reemplazarlas.

La Educación del Futuro

Para que este modelo funcione, es necesario cambiar la formación de los profesionales y que tengan una educación dual:

a.- Técnica: entender las herramientas de IA, sus límites y su lógica.

b.- Cultural y legal: tener el juicio crítico para dar sentido a los datos y tomar decisiones éticas.

No basta con saber usar un «prompt»; hay que entender por qué se toma una decisión estratégica.

El mayor riesgo actual no es la IA en sí, sino la pérdida de responsabilidad humana y la creencia errónea de que un sistema generativo puede sustituir nuestra ética e intuición.

¿Cómo funciona técnicamente el aprendizaje automático con HITL?

El aprendizaje automático (Machine Learning) tradicional utiliza datos para predecir resultados.

Sin embargo, si el algoritmo falla, puede generar una cadena de errores.

El enfoque HITL integra la inteligencia humana en todo el ciclo de aprendizaje para una mejora continua.

El ciclo funciona así:

  1. Entrenamiento: Los humanos etiquetan los datos iniciales para enseñar al algoritmo.
  2. Validación: A medida que la máquina trabaja, los humanos puntúan la precisión de sus resultados.
  3. Ajuste: Si hay errores, los humanos corrigen al modelo, lo que aumenta su confianza y precisión futura.

Esto es crucial para datos difíciles de etiquetar. Por ejemplo, los robots aspiradores (como Roomba) tenían problemas para distinguir desechos de mascotas, a veces empeorando la limpieza. La solución fue usar HITL para entrenar al sistema con miles de imágenes etiquetadas por humanos, permitiendo a la máquina reconocer y evitar esos obstáculos específicos.

Beneficios Clave

La incorporación de humanos ofrece ventajas que la máquina sola no puede lograr:

a.- Seguridad: En situaciones de vida o muerte (como la inspección de aviones), la IA no puede permitirse caer por debajo de la precisión humana.

b.- Experiencia del cliente: La personalización real requiere que los humanos aporten datos sobre matices y comportamientos que la IA no capta por sí sola.

c.- Inclusividad y ética: Los algoritmos pueden amplificar sesgos discriminatorios presentes en los datos. La revisión humana ayuda a identificar y corregir estos sesgos para hacer modelos más justos.

El Perfil del «Humano Correcto» (R-HiTL)

No cualquier persona sirve para este rol. Se necesita al «Right Human-in-the-Loop» (R-HiTL).

Elegir a la persona equivocada puede llevar a una disminución del rendimiento, riesgos éticos y errores costosos.

Un profesional R-HiTL eficaz debe poseer una combinación de habilidades:

a.- Conocimiento Técnico: Entender cómo funciona el aprendizaje automático y tener alfabetización de datos (saber interpretar tendencias y calidad de datos).

b.- Experiencia en el Dominio: Ser un experto en la materia (ya sea medicina, leyes o finanzas) para juzgar si el resultado de la IA es válido en el mundo real.

c.- Habilidades Cognitivas: Pensamiento crítico para detectar anomalías y resolver problemas ambiguos que la IA no entiende.

d.- Características Personales: Curiosidad, adaptabilidad y, sobre todo, un fuerte sentido de responsabilidad ética.

Conclusión General

El futuro de la inteligencia artificial sostenible no reside en la automatización total, sino en el equilibrio entre la velocidad de la máquina y el discernimiento humano.

La verdadera innovación no es la que nos reemplaza, sino la que nos completa.

Debemos pasar de ver al humano como un simple «etiquetador de datos» a verlo como el centro estratégico, Ya sea corrigiendo un algoritmo (HITL) o utilizando la IA como un consejero experto (AI2L), el juicio humano, la ética y la experiencia son insustituibles para garantizar una tecnología segura, justa y eficaz.

Hackeando al humano: guía sobre ingeniería social

La ingeniería social es, básicamente, el arte del engaño.

En el contexto de la seguridad informática, se define como la manipulación de personas para que revelen información confidencial o realicen acciones que permitan un fraude.

A menudo se le llama «hackear al humano».

La idea principal es que, aunque las empresas tengan los ordenadores y firewalls más seguros del mundo, el eslabón más débil suele ser la persona que está detrás del teclado.

Los criminales saben que es más fácil engañar a un empleado para que les dé una contraseña que romper un sistema de seguridad avanzado.

¿Por qué funciona?

Estos ataques funcionan porque se aprovechan de la psicología humana, la cual no ha cambiado mucho aunque la tecnología sí avance. Los atacantes explotan nuestros instintos naturales, como:

  • El deseo de ser útiles y ayudar a los demás.
  • La tendencia a confiar en la autoridad o en compañeros de trabajo.
  • El miedo o la urgencia.

Técnicas Comunes de Ataque

Destacamos cuatro formas principales en las que operan estos estafadores:

  1. Información Inofensiva («Innocuous Information») Los atacantes recopilan pequeños datos que parecen no tener importancia (como números de extensión telefónica, jerga de la empresa o nombres de departamentos). Luego, usan esta información para armar un «rompecabezas» y parecer empleados legítimos cuando contactan a alguien más para pedir acceso a datos sensibles.
  2. Causar y Arreglar un Problema. El estafador crea un problema (o finge que existe uno) y luego aparece como el «héroe» para solucionarlo.
  • Ejemplo: Alguien llama diciendo ser de Soporte Técnico (TI) para arreglar un problema de red. La víctima, agradecida por la ayuda, termina dando sus contraseñas o instalando un programa malicioso sin saberlo,.
  1. Simplemente Pedirlo («Just Asking for It»). A veces, la audacia es suficiente. Los atacantes usan la confianza y la presión social para entrar físicamente a lugares o conseguir archivos.
  • Ejemplo: Un desconocido con las manos ocupadas con cafés pide a un empleado que le sostenga la puerta de seguridad. Por amabilidad, el empleado lo deja pasar sin verificar quién es.
  1. Phishing (Suplantación de identidad) Es el método más común. Consiste en enviar correos electrónicos falsos que parecen venir de empresas legítimas (como bancos o servicios de correo).
  • El truco: Usan el miedo o la urgencia (ej. «Tu cuenta ha sido bloqueada») para que actúes rápido sin pensar.
  • Spear Phishing: Es una versión más peligrosa donde el atacante investiga a una persona específica (usando redes sociales) para hacer el correo mucho más creíble y personalizado.

¿Cómo protegerse?

Existen varias soluciones prácticas:

  • Verificar siempre: Si alguien llama pidiendo información, cuelga y llama tú al número oficial de la empresa o de la persona para confirmar que sea real.
  • Desconfiar de la urgencia: Si un mensaje te presiona para actuar rápido, detente. El pánico hace que ignoremos detalles obvios, como errores de ortografía o enlaces extraños.
  • Revisar los enlaces: Antes de hacer clic, pasa el cursor sobre el enlace para ver la dirección real a la que te lleva. A veces cambian letras sutiles (como poner paypa1.com en lugar de paypal.com).
  • Autenticación de dos pasos (2FA): Usar sistemas que pidan un código extra al iniciar sesión. Así, aunque roben tu contraseña, no podrán entrar.
  • Cultura de seguridad: No compartas contraseñas ni dejes pasar a desconocidos por puertas de seguridad, aunque parezca descortés.

Conclusión

La ingeniería social es prevenible, pero requiere estar siempre alerta. La mejor defensa es la educación y recordar que conocer la terminología de una empresa no significa que alguien pertenezca a ella.

El ataque del hombre en el medio (MITM)

1.- Introducción

Imagina una conversación telefónica entre dos personas. Un ataque Man-in-the-Middle (MitM) o «hombre en el medio» ocurre cuando una tercera persona, el atacante, se conecta a esa línea sin que nadie se dé cuenta. Este intruso no solo escucha, sino que puede interceptar y cambiar lo que se dice.

En el mundo digital, esto significa que un atacante se coloca entre dos partes (por ejemplo, tu ordenador y el web del banco) para robar o manipular la información.

El objetivo principal de estos ataques suele ser robar contraseñas, acceder a sistemas sin permiso, corromper datos o simplemente espiar las actividades del usuario.

Las redes más vulnerables suelen ser las redes Wi-Fi públicas (como las de cafeterías o aeropuertos) y las redes locales que no tienen buena seguridad.

Existen dos formas principales de realizar este ataque:

a.- Ataque Pasivo: El atacante solo «escucha» y captura datos confidenciales sin hacer ruido.

b.- Ataque Activo: El atacante altera o inyecta nueva información en la comunicación, lo que puede causar daños mayores o robos directos de datos.

2.- Herramientas y armas digitales del atacante

a.- El análisis del tráfico: Wireshark y Tcpdump

Para entender qué pasa en una red, los atacantes necesitan «ver» los datos que viajan por el aire o los cables:

  • Wireshark: Es como una radiografía de la red. Permite capturar paquetes de datos en tiempo real y ver su contenido detallado (direcciones IP, protocolos, etc.). Usa colores para diferenciar tipos de tráfico, lo que ayuda a identificar rápidamente correos, visitas a webs o contraseñas no cifradas.
  • Tcpdump: Es una herramienta similar pero funciona mediante líneas de comandos (texto), sin gráficos. Es muy potente para capturar tráfico de forma rápida y eficiente para analizarlo después,.

b.- El «cuchillo suizo» de los ataques: Wifislax y Airgeddon

  • Wifislax: Es un sistema operativo que agrupa muchísimas herramientas de hacking en un solo lugar. Permite lanzar ataques complejos, como crear «gemelos malvados» (redes Wi-Fi falsas) o atacar protocolos de seguridad.
  • Airgeddon: Es un script que automatiza los ataques. En lugar de escribir códigos complejos, el atacante usa un menú sencillo para elegir qué hacer, como capturar «apretones de manos» (handshakes) digitales o descifrar claves. Esto hace que sea más fácil para personas con menos experiencia lanzar ataques peligrosos.

c.- Rompiendo contraseñas: Hashcat y Aircrack-ng

Una vez que el atacante captura datos cifrados (como una contraseña de Wi-Fi protegida), necesita «romperla» para leerla.

  • Hashcat: Utiliza la potencia del procesador (CPU) y la tarjeta gráfica (GPU) para adivinar contraseñas a una velocidad increíble, probando millones de combinaciones por segundo.
  • Aircrack-ng: Es una herramienta específica para romper la seguridad de redes Wi-Fi (claves WEP y WPA), permitiendo al atacante entrar a la red privada.

3.- Estrategias y Métodos de Invasión

Existen técnicas con las que los atacantes logran situarse en medio de la comunicación utilizando técnicas específicas:

a.- El ataque del «Gemelo Malvado» (Rogue Access Point)

Este es muy común en lugares públicos. El atacante crea un punto de acceso Wi-Fi falso con un nombre confiable (por ejemplo, «Cafetería_Gratis»). Las víctimas se conectan pensando que es la red legítima. Al hacerlo, todo lo que envían pasa primero por el atacante, quien puede robar credenciales bancarias o correos electrónicos.

b.- Suplantación de identidad en la red (ARP y DNS Spoofing)

  • ARP Spoofing (Suplantación ARP): En una red local, el atacante engaña a tu ordenador diciéndole: «Yo soy el router». Al mismo tiempo, le dice al router: «Yo soy el ordenador de la víctima». Así, el tráfico fluye a través del atacante, quien puede leerlo o modificarlo antes de reenviarlo.
  • DNS Spoofing: El DNS es como el directorio telefónico de Internet (traduce «google.com» a una dirección IP numérica). El atacante altera este directorio para que, cuando escribas una dirección web real, tu navegador te lleve a una página falsa diseñada para robar tus datos (phishing).

4.- Casos de Estudio Reales

Presentamos dos ejemplos para ilustrar cómo ocurren estos ataques en la vida real.

a.- Caso 1: El peligro del Wi-Fi Público. En una cafetería, un atacante configuró un punto de acceso falso («Rogue Access Point»). Como los usuarios rara vez verifican si la red es legítima, se conectaron automáticamente. El atacante pudo interceptar datos bancarios y personales porque la red no tenía seguridad y los usuarios no usaban protección adicional como una VPN. Esto demostró la importancia de no realizar transacciones sensibles en redes públicas.

2.- Caso 2: Infiltración Corporativa En una empresa mediana, los atacantes usaron la técnica de ARP Spoofing. Lograron entrar a la red interna y, debido a que la empresa no tenía la red dividida en segmentos seguros (VLANs), pudieron moverse libremente. Interceptaron correos y archivos confidenciales sin ser detectados por mucho tiempo porque la empresa no monitoreaba el tráfico interno, solo el externo.

5.- Defensas: ¿Cómo podemos protegernos?

Afortunadamente, existen formas efectivas de defenderse contra los ataques MitM:

  1. Cifrado Fuerte (Encryption): Es la defensa más importante. Usar protocolos como HTTPS y TLS asegura que, aunque el atacante intercepte los datos, no pueda leerlos porque estarán «revueltos» o encriptados. Es vital validar que los certificados de seguridad de las páginas web sean legítimos.
  2. Monitoreo de la Red: Las empresas deben usar herramientas para vigilar el tráfico de la red constantemente. Si detectan algo raro, como un dispositivo enviando demasiados mensajes ARP (señal de suplantación), pueden detener el ataque a tiempo.
  3. Seguridad en Wi-Fi: Se deben usar contraseñas fuertes y protocolos modernos como WPA3. También es importante separar la red de invitados de la red corporativa principal.
  4. Educación del Usuario: El factor humano es el eslabón más débil. Se debe enseñar a las personas a no conectarse a redes Wi-Fi desconocidas, a usar VPNs (Redes Privadas Virtuales) en lugares públicos y a reconocer correos de phishing.
  5. Respuesta a Incidentes: Tener un plan preparado para actuar rápidamente si ocurre un ataque. Esto incluye aislar los sistemas afectados y analizar qué pasó para evitar que se repita.

6.- Conclusión y Mirada al Futuro

Los ataques Man-in-the-Middle siguen siendo una amenaza grave porque las herramientas para realizarlos son cada vez más fáciles de usar y están más automatizadas. Los atacantes aprovechan cualquier descuido, desde una contraseña débil hasta una red Wi-Fi mal configurada.

El futuro de la defensa contra estos ataques dependerá del uso de Inteligencia Artificial y aprendizaje automático (Machine Learning) para detectar amenazas en tiempo real, así como de la adopción de arquitecturas de seguridad donde «no se confía en nadie» (Zero Trust) por defecto.

 

Buenas prácticas para las contraseñas

Las contraseñas son la llave de casi todo lo que haces en línea y protegen información tan valiosa como el dinero en tu cuenta bancaria. Sin embargo, los expertos en ciberseguridad han advertido durante mucho tiempo que las contraseñas tradicionales son inseguras y pueden ser adivinadas o robadas.

Para mantener a los hackers alejados de tus cuentas, sigue estas estrategias fundamentales.

1.- La regla de oro: la longitud gana a la complejidad

Antiguamente, se nos decía que una contraseña debía estar llena de símbolos extraños y números. Hoy, la recomendación ha cambiado: lo más importante es qué tan larga es tu contraseña así que intenta que tus contraseñas tengan al menos 15 o 16 caracteres siempre que sea posible.

2.- Usa «Frases de Contraseña» (Passphrases)

Crear una contraseña de 16 caracteres puede parecer difícil de memorizar, pero hay un truco sencillo: usa una frase es decir junta varias palabras reales para formar una frase o una oración sin sentido.

En lugar de P@ssw0rd1, usa algo como mantequillaypanrico o, si el sistema permite espacios, mantequilla y pan rico.

No uses palabras solas ni secuencias obvias como 12345 o la palabra password y tampoco incluyas información personal que sea fácil de encontrar en tus redes sociales, como nombres de mascotas, cumpleaños o modelos de autos.

3.- La diversidad es clave: no recicles

Nunca uses la misma contraseña para diferentes cuentas ya que si usas la misma clave para todo y un sitio web sufre una filtración de datos, los atacantes tendrán la llave para entrar a todas tus otras cuentas por lo que cada cuenta debe tener su propia contraseña única.

4.- Usa un gestor de contraseñas

Es casi imposible recordar una contraseña única y larga para cada cuenta que tienes. Aquí es donde entran los gestores de contraseñas que son aplicaciones que crean contraseñas largas y complejas por ti y las guardan de forma segura.

El beneficio es que solo necesitas recordar una sola «contraseña maestra» para abrir el gestor ya que la herramienta se encarga de completar el resto automáticamente.

Además muchos gestores te avisarán si estás usando una contraseña débil o si esta ha aparecido en una filtración de datos.

5.- Activa la Autenticación Multifactor (MFA)

Incluso la mejor contraseña puede ser robada y por eso, el paso más importante que puedes dar hoy es activar la autenticación multifactor (MFA) que es una capa extra de seguridad, ya que si un hacker roba tu contraseña pero no tiene tu teléfono para recibir el código de confirmación, no podrá entrar a tu cuenta.

Para activarlo busca en las opciones de seguridad de tu correo electrónico, el banco o las redes sociales

6.- Cuidado con el «phishing» (suplantación de identidad)

No importa qué tan compleja sea tu contraseña si tú mismo se la entregas a un criminal.

Los atacantes envían correos o enlaces a sitios web falsos que se ven idénticos a los reales (como tu banco) para engañarte y que escribas tus credenciales por lo que nunca reveles tus contraseñas a nadie.

Si alguien te pide tu contraseña (incluso si parece ser del departamento de soporte técnico), es una estafa.

Piensa en tu contraseña como en el PIN de tu tarjeta de crédito nunca se lo darías a un extraño.

7.- El Futuro: llaves de acceso (Passkeys)

Si estás cansado de las contraseñas, la tecnología está avanzando hacia las Passkeys o llaves de acceso que utilizan tu teléfono o tu ordenador para verificar tu identidad mediante reconocimiento facial, huella digital o PIN, sin necesidad de enviar una contraseña por internet que pueda ser robada. Son más seguras y fáciles de usar, ya que no requieren memorización.

8.- Resumen

Para asegurar tus cuentas hoy mismo, sigue estos tres pasos principales recomendados por el Instituto Nacional de Estándares y Tecnología (NIST):

  1. Activa la autenticación multifactor (MFA) en todas las cuentas que lo permitan.
  2. Usa un gestor de contraseñas para generar y guardar claves únicas.
  3. Si debes crear una contraseña manual, asegúrate de que sea una frase larga (más de 15 caracteres) y evita palabras comunes.

 

Atrapados en la red: las tácticas de las plataformas para enganchar a los adolescentes.

Las 4 estrategias de las plataformas para retener a los usuarios adolescentes.

En este interesantísimo estudio (The Engagement-Prolonging Designs Teens Encounter on Very Large Online Platforms: https://arxiv.org/pdf/2411.12083) los investigadores identificaron 63 diseños específicos organizados en una taxonomía de cuatro estrategias principales que las plataformas utilizan para retener a los usuarios:

1.- Presionar (Pressuring)

Esta estrategia genera un sentido de obligación o urgencia. Incluye la creación de obligaciones sociales artificiales, como los «streaks» o recordatorios para felicitar a contactos, que explotan la ansiedad social y el sesgo de reciprocidad. También utiliza la presión de tiempo fabricada, como contadores de cuenta regresiva o contenido efímero (historias que desaparecen), para cimentar hábitos de revisión diaria.

2.- Atraer (Enticing)

Utiliza mecanismos de placer y recompensa para iniciar o extender sesiones. Esto se logra mediante programas de refuerzo variable, donde «likes» o contenido placentero se entregan de forma impredecible para activar vías dopaminérgicas. Asimismo, emplean teasers de curiosidad (por ejemplo, «mira quién vio tu perfil») y recomendaciones de «placeres culpables» personalizadas mediante algoritmos que priorizan imágenes visualmente impactantes o provocativas.

3.- Atrapar (Trapping)

Crea barreras para dificultar que el usuario abandone la plataforma. Un ejemplo clave es la «niebla de navegación», donde configuraciones de privacidad o la opción de cerrar sesión están ocultas tras múltiples pasos complejos; por ejemplo, cerrar sesión en TikTok requiere cinco pasos difíciles de encontrar, mientras que iniciar sesión es instantáneo. También incluye interfaces persistentes, como videos que siguen reproduciéndose en una esquina de la pantalla incluso cuando el usuario intenta navegar hacia otra sección.

4.- Adormecer (Lulling)

Busca reducir la autodeterminación del usuario fomentando un estado cognitivo pasivo y automático. El autoplay (reproducción automática) y el scroll infinito eliminan los puntos naturales de parada, aprovechando la inercia del usuario para que continúe consumiendo contenido sin tomar una decisión consciente. Las plataformas también utilizan campos autopoblados que sugieren respuestas o búsquedas con un solo clic, minimizando el esfuerzo cognitivo necesario para seguir interactuando.

 

La prohibición de las redes sociales a los menores de 16 años en Australia contada en 20 puntos.

1.- Es una novedad mundial

El Gobierno Australiano aprobó el 28-11-2024 una nueva ley denominada ley de enmienda de seguridad online, aquí tenéis el texto:

Esta ley estableció una edad mínima para el uso de las redes sociales a los 16 años y una obligación para los proveedores de redes sociales a tomar medidas razonables para evitar que los usuarios con menos de 16 años tengan una cuenta.

En este enlace tenéis la explicación de la ley:

2.- Las razones del Gobierno Australiano.

El Gobierno Australiano encargó un estudio en el que descubrió que el 96% de los niños australianos de entre 10 y 15 años, utilizaban las redes sociales y que 7 de cada 10 habían sido expuestos a contenidos nocivos, como material misógino y violento, así como contenido que promovía trastornos alimenticios y el suicidio.

1 de cada 7 también informó haber experimentado comportamientos de acoso por parte de adultos o niños mayores, y más de la mitad dijeron que habían sido víctimas de acoso online.

3.- La protección de la salud y bienestar de los menores

El Gobierno Australiano afirma que la prohibición de las redes sociales es necesaria para proteger la salud mental y el bienestar de los niños y adolescentes australianos, ya que creen que los riesgos de las redes sociales, como el ciberacoso, el contenido nocivo y los depredadores online, superan sus ventajas.

4.- ¿Quién lidera esta propuesta?

Quien lleva adelante esta propuesta es la ministra de comunicaciones Anika Wells, quien dijo que se mantendrán firmes junto a los padres y no de las plataformas.

5.- ¿Cuándo entra en vigor?

Entrará en vigor el 10-12-2025, por tanto, ese día las redes sociales que el Gobierno Australiano ha incluido en la prohibición, deberán tomar medidas razonables para:

a.- Desactivar todas las cuentas para los usuarios menores de 16 años.

b.- Evitar la creación de nuevos perfiles por parte de menores de 16 años.

6.- ¿Y si los progenitores quieren crear una cuenta para su hijo menor de 16 años?

Los progenitores no pueden dar su consentimiento para que sus hijos menores de 16 años puedan crear un perfil.

7.- ¿Cuáles son las 3 condiciones para decidir en qué redes se aplica la prohibición?

Se aplicarán las restricciones de edad en las redes sociales que cumplan tres condiciones específicas:

a.- El único propósito o un propósito significativo de éstas sea permitir la interacción social online entre dos o más usuarios finales.

b.- El servicio permita a los usuarios finales enlazar o interactuar con algunos o todos los demás usuarios finales.

c.- El servicio permita a los usuarios finales publicar materiales.

8.- ¿Cuáles estarán prohibidas?

El Gobierno de Australia ha publicado una lista que no es fija sino dinámica, puesto que se puede ampliar:

En este momento éstas son las redes sociales prohibidas a menores de 16 años:

  • Facebook .
  • Kick .
  • Reddit .
  • Threads .
  • TikTok .
  • Twitch .
  • X (anteriormente Twitter).
  • YouTube .

9.- ¿Cuáles no están prohibidas?

En este momento son estas:

  • Discord .
  • Google classroom .
  • Lego Play.
  • Roblox .
  • Steam y Steam Chat .
  • YouTube Kids .

10.- ¿Cómo funcionará la verificación de la edad en las redes sociales?

Esto dependerá de cada plataforma, pero solicitar simplemente la fecha de nacimiento no puede ser la única forma de verificación de la edad.

Además los métodos utilizados por las redes sociales prohibidas, deben cumplir con los requisitos de los reguladores y respetar las leyes de privacidad y los derechos digitales.

11.- Los indicios de que el titular del perfil es menor de 16 años

Las redes sociales analizarán datos y otras señales relacionadas con la edad de los menores, que pueden ayudar a determinar si alguien es menor de 16 años, como por ejemplo:

  • Cuánto tiempo ha estado activa una cuenta.
  • Si el titular interactúa con menores de 16 años.
  • El análisis del nivel de idioma y del estilo utilizado por el titular de la cuenta y las personas con las que interactúan.
  • Las verificaciones visuales, como el análisis de la edad facial de las fotos y vídeos del titular de la cuenta.
  • El análisis del audio, como la estimación de la edad de la voz del titular de la cuenta.
  • Los patrones de la actividad como si coincide con los horarios escolares.
  • Las conexiones con otros usuarios que sean menores de 16 años.
  • Si son miembros de grupos, foros o comunidades centradas en los jóvenes.

12.- ¿Se eliminarán las cuentas de los menores de 16 años?

Existen varias opciones en función de cada red y que son:

a.- permitir antes de eliminar la cuenta, descargar todas las fotos, vídeos y mensajes.

b.- poner la cuenta en espera para cuando el menor cumpla 16 años.

c.- eliminar directamente la cuenta.

Parece que los adolescentes podrán recuperar el acceso a sus cuentas cuando cumplen 16 años, sin que se borre el contenido.

13.- Tengo más de 16 años pero la red dice que soy menor de 16, ¿qué hago?

Los adolescentes mayores de 16 años que han sido erróneamente señalados como menores de 16 años, tendrán que pasar por un proceso de revisión para poder acreditar el error frente a la red social.

14.- Las críticas a la ley

Aunque la prohibición tiene como objetivo proteger a los menores de los daños de las redes sociales, también se dice que puede aislar a los grupos de menores que dependen de las redes sociales para conectarse entre ellos y que la prohibición puede empujarlos a espacios menos regulados de Internet.

Los defensores de la privacidad y la libertad en Internet también sostienen que su implementación puede hacer más daño que bien.

Ahora bien, es significativo qué opina UNICEF Australia sobre la prohibición de las redes sociales:

«… Si bien es genial que hablemos más de mejorar el mundo online para los jóvenes, UNICEF Australia cree que los cambios propuestos no solucionarán los problemas que enfrentan los jóvenes online. Las redes sociales tienen muchas cosas buenas, como la educación y mantenerse en contacto con amigos. Creemos que es más importante hacer que las plataformas de redes sociales sean más segures, que estamos incluyendo las opiniones de los jóvenes cuando hablamos con el gobierno sobre hacer que los espacios online sean lo más seguros posible …”.

15.- ¿Hay políticos en Australia que están en contra?

Así es, la posición en contra está liderada por John Riddick que es miembro del Parlamento de Nueva Gales del Sur y presidente del Proyecto Libertad Digital, que apoya un recurso frente al Tribunal Supremo contra esta prohibición.

El señor Riddick dice que la prohibición es desproporcionada y que deberían ser los padres quienes decidan qué es bueno para sus hijos y no el gobierno.

16.- La primera demanda de dos menores en contra de la ley

Dos jóvenes australianos ya han presentado procedimientos que impugnan esta prohibición y que son Noah Jones y Macy Neyland de 15 años, que han declarado estar decepcionados con un gobierno perezoso que prohíbe a los menores de 16 años en lugar de invertir en programas para ayudar a los niños a estar seguros en las redes sociales:

17.- Las alternativas para evitar la prohibición

Desde el uso de una VPN para enmascarar el sitio desde la que se accede a la red social y simular que el usuario está fuera de Australia, hasta la complicidad de los progenitores o de los hermanos mayores o personas que darán acceso a los menores a una cuenta ya verificada.

También otros expertos aconsejan el uso de inteligencia artificial para simular una edad superior o disfrazarse con máscaras para simular tener más edad.

Incluso hay quien plantea que se cambien los datos de los menores por el de los padres, como en el caso de los influencers, para mantener los perfiles a nombre de los progenitores.

18.- Las multas

Australia ha puesto el foco de la responsabilidad en las empresas y por tanto no penalizará a los progenitores o a los menores que incumplan la ley, ya que se trata de proteger a los menores y no castigarlos o aislarlos.

Esto significa que las redes sociales deben impedir que los menores de 16 años tengan cuentas, porque si no se arriesgan a recibir multas de hasta 33 millones de dólares EE.UU. (28 millones euros).

19.- Consejos a los progenitores

Es evidente que las conexiones que permiten las redes sociales son valiosas para los jóvenes y pueden ser su principal comunidad y grupo de apoyo en el que se encuentran sus amigos.

Ante esta evidencia el gobierno de Australia aconseja que el rol ideal de los adultos es escuchar, validar y apoyar a los adolescentes durante este período, ya que para los jóvenes esto puede significar perder gran parte de su mundo y será difícil de soportar.

El gobierno Australia ha publicado unos consejos para los progenitores con menores de 16 años afectados por la prohibición, que seguramente sentirán una variedad de emociones, como estar molestos, preocupados, frustrados o tristes:

Aquí están algunos consejos:

  • Liderar este proceso con empatía, haciendo saber que entendemos sus sentimientos.
  • Preguntar cómo utilizan actualmente las redes sociales.
  • Hablar de la nueva ley y lo que significa.
  • Explicar que las restricciones son para protegerlos, no castigarlos.
  • Hablar sobre el tipo de riesgos que la ley pretende ayudar a evitar, que incluyen pasar demasiado tiempo en las pantallas y estar sobreexpuestos a contenidos negativos y daños, lo que puede afectar a su bienestar.
  • Concentrarse en lo que todavía pueden hacer online y fuera de línea.
  • Asegurar que siempre pueden acudir a los progenitores o a otro adulto de confianza para hablar sobre sus preocupaciones.

20.- La declaración de compromiso con los derechos del menor

Por último, compartimos la declaración de compromiso con los derechos del niño del gobierno de Australia:

Mamá siempre decía que la vida es como una caja de bombones, nunca sabes lo que te va a tocar. Esta frase se hizo famosa gracias a la película Forrest Gump protagonizada por Tom Hanks allá por el año 1994, cuando el protagonista invita a una chica que está sentada en un banco en Savannah a coger un bombón de una caja, mientras Forrest está esperando el autobús.

Esta anécdota nos sirve para hablar de las recompensas aleatorias y su relación con la adicciones digitales que tanta preocupación están generando en nuestra sociedad pues que se han convertido en un grave problema de salud pública, y para ello hablaremos de un psicólogo estadounidense denominado B. F. Skinner, que se hizo famoso con un experimento consistente en encerrar en una caja a una paloma en cuyo interior había una palanca que si era pulsada, el animal obtenía comida.

Inicialmente cada vez que el animal apretaba la palanca, la caja le daba una cantidad igual de alimento, con lo que éste presionaba el mecanismo, obtenía la comida y ahí terminaba el experimento, pero Skinner empezó a probar que sucedía con el comportamiento de la paloma cuando la recompensa al pulsar la palanca variaba cada vez y se convertía en imprevisible, es decir que cuando pulsaba la palanca obtenía comida pero de forma aleatoria, a veces le daba alimento y no siempre en la misma proporción y en otras ocasiones no.

Lo que descubrió Skinner es que cuando el resultado de pulsar la palanca no era previsible para la paloma sino totalmente aleatorio, el animal perdía el control y no paraba de presionar con independencia de la cantidad de comida que le proporcionaba, por lo que al resultado de su experimento Skinner lo denominó el sistema de recompensa variable.

Si nos llevamos el ejemplo del mundo animal a nuestro mundo digital, vemos que las máquinas tragaperras, los videojuegos y las redes sociales han incorporado este tipo de tácticas sutiles consistentes en ofrecernos recompensas aleatorias, inesperadas o imprevisibles, que crean en los usuarios una sensación de incertidumbre que hace que algunas personas reaccionen jugando de forma compulsiva y no puedan dejar de hacerlo, lo que convierte un simple juego en una peligrosa adicción.

Esta es una estrategia muy pensada por los diseñadores de tecnología que sirve para reforzar un determinado tipo de conducta y así el jugador empieza a jugar de una forma fácil y muy amigable para, poco a poco, irse enganchando a ella, siendo curioso que el usuario cree en todo momento que él controla a la tecnología y no al revés y no solo eso sino que está convencido que en cualquier momento recibirá su recompensa en forma de puntos, cofres, dinero, etc.

La respuesta humana ante este tipo de estímulos tiene que ver con el hecho que la tecnología se ha diseñado para conseguir la activación rápida de la dopamina, que es un neurotransmisor asociado con el placer, la recompensa y la motivación, por lo que aquí podríamos cambiar la frase de Forrest y afirmar sin rubor que la tecnología no es como una caja de bombones, pues sus diseñadores sí que saben en todo momento el bombón que nos va a tocar y no siempre nos llega en forma de agradable dulce de chocolate, sino como adicción a la tecnología digital y a veces como grave problema de salud digital.

A ninguna madre o padre con dos dedos de frente se le pasaría por la cabeza enseñar a los hijos pequeños a ir por primera vez en bicicleta desde lo alto del puerto de la Bonaigua, con la bicicleta más cara del mercado y de buenas a primeras decir a los hijos, con la carretera helada y de noche: “Venga chicos, la vida es dura y esta experiencia os hará fuertes, ya podéis bajar solos”, y que a resultas del descenso, después de pasar por el hospital a reparar piernas y brazos rotos, los progenitores extraigan conclusiones educativas y expliquen a sus hijos precisamente cómo no deben ir en bicicleta y, sobre todo, den toda la culpa a los menores, que ya deberían haber conocido todos los peligros de circular en bicicleta, todo y que era la primera vez que lo hacían.

Parece claro que cualquier madre o padre como los que lean estas cuatro líneas, habría actuado de forma radicalmente contraria, preparando la primera salida en bicicleta con los hijos con unas sesiones teóricas sobre cómo funciona una bicicleta, los riesgos más habituales y también las oportunidades de ir en bicicleta.

Otro día y con bicicletas de cuatro ruedas adaptadas a su edad, haremos la primera vuelta, caminando con ellos al lado, poco a poco, por un sitio seguro, advirtiéndoles de los peligros para así más adelante y -ahora sí con bicicletas de dos ruedas -ir corriendo a su lado o seguramente con otra bicicleta haremos la primera salida todos juntos.

Estos progenitores -como titulares que son de la patria potestad de los hijos menores- son plenamente conscientes de que no podrán ir toda su vida corriendo junto a sus hijos previniéndoles de todos los peligros -desde semáforos que mudan de color hasta peatones descuidados que cruzan sin mirar o coches que cambian de sentido sin intermitente-, ya que a menos que aprovechemos las actividades ciclísticas de los pequeños para entrenarnos a su lado para correr ultra maratones, habrá algún momento que como hemos hecho nosotros antes, ellos irán solos en bicicleta.

Por tanto, para prepararlos para ese momento, nuestra labor educativa como titulares que somos de la patria potestad, más que comprar bicicletas seguras y cascos de buena calidad –que también–, supondrá entrenarlos conjuntamente con la escuela y toda la comunidad educativa, para que detecten por sí mismos –y no con la madre y el padre al lado como un radar que no se calla avisando de los peligros– las situaciones de riesgo que seguro que se encontrarán cuando vuelvan solos en bicicleta.

Progenitores y escuela educaremos a los menores para que sepan que no pueden bajar por un puerto de montaña de noche sin luces, ni dar vueltas con una rueda con poco aire, o que si ven un hoyo en medio del camino de la carretera estén atentos para reaccionar y esquivarlo a tiempo, ya que no nos pasa por la cabeza que los menores lo aprendan todo sobre el fascinante mundo de la bicicleta a base de coscorrones y porrazos, a modo de ensayo y error y dejando rastro en su cuerpo de las heridas.

Las madres y los padres no podemos dar herramientas que pongan a nuestros hijos en peligro -como hacemos cuando les compramos un móvil de última generación y lo ponemos en manos de un menor sin experiencia alguna-, ni deberíamos delegar nuestras responsabilidades educativas en la escuela o exclusivamente en la tecnología -control parental o antivirus, si llevamos el ejemplo de la bicicleta en los teléfonos móviles-, al igual que cuando ellos aprenden a andar en bicicleta, tampoco confiamos ciegamente sólo en la tecnología -frenos , casco, etcétera-.

Debemos educar a los hijos a circular de manera autónoma, lo que significa entrenarlos previamente en entornos controlados donde no se puedan hacer daño -la escuela, por ejemplo- para que cuando llegue el peligro lo detecten solos, puedan identificar los riesgos -como lo es que alguien les pide una fotografía suya por internet- y que así puedan reaccionar de manera autónoma, ya que como pasa con la bicicleta las madres y los padres no siempre estaremos a su lado para advertirles y ayudarles cuando naveguen solos por internet.

La escuela y la comunidad educativa son conjuntamente con los progenitores el lugar ideal donde entrenar a los menores digitales y seguramente también a alguno de nosotros, sobretodo los progenitores que nacimos en el mundo analógico.