25 consells per navegar de manera segura per internet en l'era del ciberdelicte

Els ciberdelictes continuen creixent a gran velocitat: a Espanya van tenir lloc més de 16.900 procediments judicials per ciberdelinqüència el 2020, una xifra que representa un creixement del 28,69 % respecte al 2019, segons dades de la Fiscalia General de l'Estat. A més, l'Estudio sobre la cibercriminalidad en España diu que "és previsible que els atacs i les vulnerabilitats relacionats amb xarxes domèstiques o dispositius personals augmentin". La bona notícia és que podem fer servir una sèrie d'estratègies per protegir-nos d'aquestes amenaces. Jordi Serra i Cristina Pérez Solà, professors dels Estudis d'Informàtica, Multimèdia i Telecomunicació de la UOC, proposen 25 recomanacions per navegar de manera segura per internet.

Una contrasenya per a cada cosa
No reutilitzar les contrasenyes en diverses pàgines web o serveis és una premissa clau. La raó, segons explica Cristina Pérez Solà, és que, si fem servir la mateixa contrasenya i queda compromesa, afectaria tots els serveis en els quals l'hàgim utilitzat. "A més, si un dels llocs té una fiabilitat dubtosa, fins i tot podria estar emmagatzemant la contrasenya expressament per després vendre-la a tercers", explica.

Oblidar-se de paraules d'ús comú per a les claus
Igualment, és important evitar triar paraules d'ús comú com a contrasenya, "és a dir, paraules que puguin aparèixer en un diccionari, com ara hola, contrasenya o xocolata", diu la professora de la UOC. També cal fugir de les contrasenyes populars com ara "0000" o "1234", atès que, pel fet de ser molt comunes, "són, molt probablement, les primeres que provarà un atacant", afegeix.

Com més llargada tingui la contrasenya, millor
Una altra recomanació respecte a les contrasenyes és augmentar-ne la llargada, a més d'afegir-hi caràcters especials, barrejar números i lletres, i fer servir majúscules i minúscules. Tot això augmenta la dificultat de ser atacats amb èxit.

Fer servir un segon factor d'autenticació
Tot i que les recomanacions anteriors ajuden a evitar atacs, la manera més efectiva d'impedir que algú utilitzi les nostres contrasenyes és fer servir un segon factor d'autenticació, que consisteix a fer que "ens enviïn un missatge o a utilitzar una aplicació al mòbil quan introduïm la contrasenya correctament. L'usuari és l'únic que disposa d'aquesta segona autenticació, de manera que no és fàcil suplantar-li la identitat", explica Jordi Serra.

Un aliat: el gestor de contrasenyes
Els gestors de contrasenyes ens ajuden a guardar les contrasenyes dels serveis i webs que tenim, de manera que permeten guardar totes les claus d'accés, que cada vegada són més, en un únic lloc. "Només cal tenir clar que la contrasenya mestra que posem en aquests gestors ha de ser única i com més complicada millor perquè no es puguin desencriptar les contrasenyes guardades a dins de manera encriptada", aconsella el professor de la UOC.

Còpia de seguretat a l'hora de comprar un ordinador nou
Una recomanació dels experts és que, quan comprem un ordinador nou, fem una còpia de seguretat de tot el disc dur, de manera que sempre conservem aquesta còpia íntegra del disc dur sense utilitzar. "D'aquesta manera, si calgués, es podria reinstal·lar mantenint l'ordinador nou com el primer dia sense cap problema, tot i que el que hauríem de fer tot seguit és aplicar totes les actualitzacions disponibles que hagin sortit després", aconsella Serra.

Un usuari diferent de l'administrador per treballar
Un altre consell del professor de la UOC és crear un usuari nou per treballar i guardar només l'usuari administrador, amb una contrasenya diferent, per a les instal·lacions i configuracions. És important que no treballem com a administradors de l'ordinador diàriament.

Restaurar el programari si instal·lem aplicacions de tercers
No cal restaurar el programari de l'ordinador si no instal·lem aplicacions de tercers que siguin de poca confiança, "però si ho fem, o si instal·lem jocs que no són coneguts o fem tasques similars, llavors sí que cal fer-ho", indica Jordi Serra.

Desconfiar si el començament de l'URL no és https
Com explica Cristina Pérez Solà, una adreça que comença per https indica que es fa servir el protocol de comunicació HTTPS, que és una versió del protocol HTTP que ofereix encriptació i integritat de les dades i autenticació del servidor. D'una banda, l'encriptació de les dades és important, atès que "evita que un adversari que escolti el trànsit de xarxa pugui veure la informació que s'està enviant al servidor. Per exemple, si fem una compra per internet utilitzant una wifi d'un bar, és important que la comunicació estigui encriptada per assegurar que els propietaris del bar no puguin veure el número de targeta que fem servir per pagar o els productes del nostre carretó", assenyala la professora de la UOC. D'altra banda, la integritat de les dades assegura que no s'han modificat. "Seguint amb l'exemple anterior, impedeix que els propietaris del bar puguin canviar els preus dels productes que comprarem o modifiquin l'adreça de lliurament del producte sense que ens n'adonem", afegeix. Finalment, l'autenticació ens permet confirmar que la web és el que diu que és.

El cadenat no garanteix la seguretat
La icona del cadenat que apareix al costat de l'adreça d'una web pot transmetre una sensació de seguretat. No obstant això, és falsa. Com adverteix Serra, "el cadenat només serveix per avisar que la comunicació cap al servidor web està encriptada i que han pagat per tenir-lo, però no té res a veure amb el fet que la web sigui legítima o un frau. Només indica que aquesta web funciona amb HTTPS, res més".

Què cal fer per controlar les galetes
Les galetes s'han convertit en un problema, perquè, tot i que rebem constantment la informació per configurar-les, ja són poques les persones que les configuren quan entren a una pàgina web perquè no se'ls faci un seguiment. No obstant això, ho hem de fer. "Cal parar uns segons i mirar bé la configuració de les galetes que acceptem, ja que moltes ens rastregen i saben totes les pàgines web que visitem", indica el professor Serra, membre del grup de recerca K-riptography and Information Security for Open Networks (KISON) de la UOC.

Evitar la petjada del navegador
Actualment hi ha altres mecanismes més enllà de les galetes que permeten a les pàgines web rastrejar els usuaris. Per exemple, es pot fer servir la petjada del navegador com a identificador. Com explica Cristina Pérez Solà, la petjada del navegador és un conjunt de característiques que identifiquen el nostre navegador de manera gairebé única i que, per tant, permeten rastrejar-nos mentre naveguem per internet, encara que esborrem les galetes o canviem d'IP. La petjada del navegador fa servir propietats com ara la versió del navegador, les extensions instal·lades, la resolució de pantalla, el sistema operatiu o la manera com es renderitzen diferents fonts tipogràfiques. Per afavorir la navegació i les cerques privades, es pot recórrer a navegadors com ara Tor o es pot fer servir la xarxa d'anonimat Tor. "Aquest sistema sí que ens assegura una mica d'anonimat i privacitat de les dades que circulen per internet", explica Serra.

Desconfiar del "mode incògnit"
Tot i el seu nom, el "mode incògnit" no ens protegeix de possibles atacs. Segons els experts, l'únic que el caracteritza és que no guarda a l'historial les webs que visitem i que les galetes no queden desades, "però això no significa que sigui anònim", adverteix Jordi Serra. La raó és que no oculta l'adreça IP o el punt des d'on ens connectem, i tampoc no s'estableixen connexions segures o encriptades.

Sí a l'antivirus
Un antivirus ens protegirà dels troians i virus ja coneguts, de manera que ens proporcionarà certa seguretat. Quant als virus nous, no és freqüent que es facin servir als domicilis particulars. No obstant això, en cas que ho fessin, no estaríem protegits.

Compte amb els permisos per instal·lar extensions
Les extensions són programes que afegeixen funcionalitats als navegadors. En conseqüència, gairebé sempre necessiten accedir a les dades del disc o dels programes, de manera que hem d'anar molt amb compte amb les que instal·lem. Per això, la professora Pérez Solà, també membre del grup de recerca KISON de la UOC, recomana que, abans de concedir els permisos, pensem si l'aplicació realment necessita accedir a les dades per les quals demana permís per funcionar correctament, i no instal·lem aplicacions que demanin més dades de les que necessiten. "Moltes extensions demanen el permís de 'llegir i modificar les dades de tots els llocs web', i això pot ser molt perillós, ja que els dona carta blanca per veure i modificar tot el que es fa des del navegador. Per exemple, poden captar les contrasenyes que es fan servir per autenticar-se en llocs web o afegir publicitat a les pàgines web que visitem", adverteix.

Si les instal·lem, que siguin legítimes
També és important assegurar-se que l'aplicació és legítima, per la qual cosa és preferible baixar les extensions des de la pàgina oficial del navegador (per exemple, el Web Store de Chrome o la pàgina de complements de Firefox), ja que aquestes extensions ja han passat un procés de validació previ, indica Cristina Pérez Solà. A més, hi ha alguns detalls que ens poden donar informació addicional, com ara el nombre de baixades de l'aplicació o els comentaris i les valoracions d'altres usuaris. "Personalment, desconfio no solament d'aplicacions que tenen males valoracions, sinó també d'aplicacions que tenen valoracions 'massa bones', sobretot si totes són semblants, s'han escrit durant un període de temps breu i tenen la màxima puntuació", afegeix.

Targeta virtual d'un sol ús per fer compres en línia
Una bona idea a l'hora de fer compres en línia és utilitzar una targeta virtual d'un sol ús per fer el pagament. Aquestes targetes tenen, igual que les "normals", un número, una data de caducitat i un codi de seguretat (CVV), però es caracteritzen perquè només permeten una única compra. "D'aquesta manera, si un adversari clona la targeta o obté les dades en un atac a la base de dades de la web en què hem comprat, no li servirà de res, atès que ja no serà vàlida un segon cop", diu la professora de la UOC. A més, aquestes targetes també es poden combinar amb targetes de prepagament que es poden recarregar amb un import concret, afegeix. "Així, es pot posar a la targeta l'import exacte de la compra, de manera que ens assegurem que no ens cobraran de més", conclou Pérez Solà.

Parar esment a la web en què comprem
Independentment que fem servir una targeta virtual o no, abans de fer cap pagament, hem de donar un cop d'ull a les botigues on comprem i ens hem de fixar en la seva reputació o en si tenen comentaris a la xarxa (si no en tenen o són dolents, és preferible no comprar aquesta "megaoferta" que tenen a menys de la meitat del preu de cost). Si desconfiem de les webs noves, i sobretot de posar-hi la targeta de crèdit, ens podem estalviar un possible disgust.

No proporcionar dades ni fer clic a enllaços sospitosos
Si rebem un correu d'una suposada empresa o un proveïdor que creiem il·legítim, és millor visitar directament la pàgina web de l'empresa i buscar allà mateix l'enllaç amb el servei que ens ofereixi el correu. Per exemple, si rebem un correu de la nostra empresa de telefonia oferint-nos un descompte de la tarifa, és millor visitar la web de l'empresa de telefonia i buscar-hi l'oferta que ens ofereixen per correu a fi d'evitar fer clic a l'enllaç que ens envien.

Molta precaució amb les línies de wifi obertes o compartides
Els experts recomanen fer servir les xarxes wifi obertes només per navegar i buscar informació sobre consultes generals, però mai —encara que tinguin contrasenya— per connectar-nos al banc o a una botiga i introduir les dades de pagament. "Si cal, hem de desactivar la wifi per connectar-nos via GSM, ja que des d'aquest sistema és molt més complicat i costós obtenir les dades que enviem cap a internet", indica Jordi Serra.

Quan hem de fer servir xarxes VPN
Fer servir una connexió VPN per navegar per internet a l'hora d'utilitzar wifis públiques pot ser una bona alternativa, atès que assegura que les dades viatjaran encriptades i ens permet amagar la destinació de les connexions. "Ara bé, és important seleccionar un proveïdor de VPN amb certes garanties de privacitat, ja que, si no, podem fugir del foc i caure a les brases", adverteix Pérez Solà.

Protegir les xarxes de casa
Per protegir les xarxes de casa hi ha dues premisses bàsiques: que sempre tinguin contrasenya i, si tenim dispositius molt antics que no ho permetin, fer servir algorismes WPA3, la tercera revisió d'un protocol de seguretat utilitzat a les xarxes wifi i certificat per la fundació Wi-Fi Alliance.

Quines precaucions hem de prendre amb els codis QR
Els codis QR són una representació en format imatge d'un text. Aquest text es passa a codi binari i es representen els zeros i els uns en blanc i negre, de manera que no podem veure el que hi ha escrit dins d'aquest codi QR. "A causa d'això, la recomanació és llegir el codi QR i, abans d'obrir-lo directament, mirar a quina adreça URL ens portarà el navegador. Si veiem que és un URL desconegut, o que ens sembla fraudulent, és millor plantejar-se no obrir l'enllaç associat a aquest QR", aconsella Jordi Serra.

Actualitzar el navegador
Tots els navegadors mostren la informació web a la qual es vol accedir i avisen dels certificats caducats. No obstant això, hem de tenir en compte que també s'han d'actualitzar i que cal descartar els que estiguin obsolets, com ara les versions antigues o Internet Explorer, que ha deixat de donar suport i, per tant, ja no s'actualitza.

Quan hem d'analitzar si un fitxer està lliure de virus
No cal analitzar sempre un fitxer abans d'obrir-lo, però si ens sembla sospitós, el consell dels experts és que visitem alguna web que passi antivirus en línia de fitxers, com ara VirusTotal.com.