La mayoría de los estadounidenses no tienen idea de lo que significa https://

Credit to Author: Naked Security| Date: Fri, 18 Oct 2019 07:54:46 +0000

El 55% de los adultos estadounidenses no pudo identificar un ejemplo de 2FA, y solo el 30% sabía que una URL que comience por https:// significa que la información enviada a ese sitio está cifrada, y el Centro de Investigación Pew descubrió muchos otros datos aleccionadores sobre lo que los estadounidenses saben y no saben sobre ciberseguridad y privacidad.

La encuesta

El Centro de Investigación Pew realizó una encuesta que evaluó a los estadounidenses y su conocimiento digital, preguntando a 4.272 adultos en los EEUU una serie de 10 preguntas sobre una variedad de temas digitales, como la ciberseguridad o quién era el hombre con barba de la foto (respuesta: el co-fundador de TwitterJack Dorsey. Solo el 15% acertó eso, pero Pew no aclaró es que tiene que ver eso con la ciberseguridad o la privacidad).

El resultado de la encuesta dependía en gran medida de cuál era el tema, término o concepto, así como de la edad que tenían los encuestados y cuál era su nivel educativo. Los jóvenes lo hicieron mejor así como los que tenían educación universitaria.

Los encuestados hicieron un trabajo sobresaliente a la hora de identificar dónde podemos encontrar ataques de phishing, por ejemplo. ¿En un correo ¿En las redes sociales? ¿En un mensaje de texto? ¿En un sitio web? ¿O qué tal la respuesta correcta: “todo lo anterior?” ¡Ding-ding-ding, tenemos un ganador! El 67% de los estadounidenses sabían que puedes encontrar phishing en todos esos lugares.

Los encuestados también respondieron a la pregunta sobre qué son las cookies: el 62% dijo correctamente que los sitios web que usan cookies pueden rastrear sus visitas y actividad en el sitio.

Fracasamos con la 2FA

En este punto no son tan buenos: solo el 28% de los adultos podría identificar un ejemplo de 2FA, que es una de las formas más seguras de proteger la información personal en cuentas confidenciales.

Para ser justos, la pregunta incluyó varias imágenes de estrategias de seguridad (páginas 14-15 de la encuesta que puede descargar aquí), en las que se pedía a los encuestados que eligieran la imagen que representaba 2FA.

Entre las opciones había una imagen reCAPTCHA con palabras onduladas que debes escribir para demostrar que no eres un bot, un inicio de sesión del cliente que solicita un nombre de usuario, contraseña y un código de seis dígitos (la opción correcta), una solicitud para confirmar una imagen de seguridad (¡bonitas flores!) y una palabra clave antes de ingresar su contraseña, una de esas preguntas de seguridad le pide que complete sus preguntas de tipo “quién fue su mejor amigo de la infancia” (cuyas respuestas, con demasiada frecuencia, se pueden obtener fácilmente de las redes sociales, a menos que haga lo inteligente y responda con sarcasmo) y “Todo lo anterior” o “No estoy seguro”.

El cuarenta y dos por ciento dijo “todo lo anterior”. Solo el 28% detectó la solicitud de un código y sabía que era indicativo de 2FA.

¿Qué es https://?

Solo el 30% sabía que comenzar una URL con https:// significa que la información enviada a ese sitio está cifrada. El 53% no estaba seguro, pero al menos no eligieron algunas de las suposiciones incorrectas: que el contenido del sitio es seguro para los niños (incorrecto y, afortunadamente, elegido por solo el 1% de los encuestados), que el sitio solo es accesible para personas en ciertos países (incorrecto, y elegido por solo el 2%), o que el sitio ha sido verificado como confiable (incorrecto y elegido por el 12%).

Los sitios HTTPS son más seguros porque usan Transport Layer Security (TLS), que establece un enlace cifrado entre el navegador y el servidor web antes de enviar cualquier solicitud HTTP. Como hemos explicado, TLS protege el tráfico HTTP de escuchas y manipulaciones mientras se mueve a través de una red, entre usted y el sitio que está utilizando. Sin embargo, no dice nada sobre la seguridad o la legitimidad del sitio en sí.

Desafortunadamente, el símbolo del candado que muestra su navegador cuando usa HTTPS puede engañar a los usuarios para que piensen que sí. Muchos suponen (sobre todo porque los profesionales de seguridad pasaron años diciéndoles que lo hagan) que el candado significa que el sitio web que están viendo debe ser real, y no falso.

El FBI advirtió recientemente que los sitios de phishing se aprovechan de este malentendido y usan TLS para parecer más legítimos a las víctimas.

Más datos

Estos son algunos de los otros temas sobre los que preguntó el Centro de Investigación a los estadounidenses, junto con los resultados:

  • El 59% sabe que la publicidad es la mayor fuente de ingresos para la mayoría de los sitios de redes sociales, en lugar de cosas como acuerdos exclusivos de licencia (4%) o consultoría corporativa (2%).
  • El 48% de los adultos respondió correctamente que una política de privacidad es un contrato entre sitios web y sus usuarios con respecto a cómo se utilizarán sus datos.
  • El 45% sabe que la neutralidad de la red se refiere al principio de que los proveedores de servicios de Internet deben tratar por igual a todo el tráfico en sus redes.
  • El 24% sabe que la “navegación privada” o el “modo incógnito” solo ocultan la actividad en línea de otras personas que usan la misma computadora. Eso no significa que las actividades del usuario estén enmascaradas y no sean capturadas por los sitios web, el proveedor de Internet o un empleador si la navegación se realiza en un ordenador de trabajo. (Lo señalamos recientemente cuando Google introdujo el modo de incógnito en Maps).
  • Solo el 29% de los estadounidenses nombraron correctamente a WhatsApp e Instagram como dos compañías propiedad de Facebook.
  • Solo el 15% identificó correctamente a Jack Dorsey. El 77% informó no estar seguro de quién estaba en la foto. Lo siento Jack.

Una breve explicación de 2FA

Entonces, sobre la pregunta de 2FA que muchos fallaron: si deseas una profundización técnica en lo que es 2FA, consulta el artículo sobre 2FA de Chester Wisniewski aquí. Otra opción es el artículo sobre 2FA de Maria Varmazis, que lo desglosa en términos simples pero útiles.

En esencia, 2FA es cuando demuestras quién eres en un sitio web o servicio utilizando dos de estas tres opciones:

  • Algo que sabes, como una contraseña
  • Algo que tienes, como un código numérico
  • Algo que eres, como una huella digital

Como explica Varmazis, muchos de nosotros que hemos trabajado en el mundo corporativo en algún momento llevamos un pequeño llavero o token con nosotros y escribimos los números que se muestran al iniciar sesión en un sistema de trabajo central. Ese es un ejemplo de un factor 2FA: ese código es algo que tienes.

Del mismo modo, si su sitio web favorito de compras o banca le ha estado pidiendo que verifique su identidad escribiendo un código numérico que le envió un mensaje de texto, eso también es 2FA.

2FA funciona como una capa adicional de seguridad además de las contraseñas, que los ciberdelincuentes roban con demasiada frecuencia o las exponen en bases de datos sin protección, sin contraseña, en línea.

Si tienes la oportunidad de asegurar una cuenta con 2FA, creemos que es una buena idea aprovecharla. Es una buena técnica de seguridad y se debe explorar si no está seguro de qué es.

 

 

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:

http://feeds.feedburner.com/sophos/dgdY