Nadie está completamente a salvo en lo que respecta a la seguridad en Internet y, aunque nuestro perfil de diseñadores o desarrolladores es bastante técnico, no dejamos de estar en riesgo, más aún por ciertos datos que manejamos en nuestro día a día.

Si eres diseñador web estás encargado de crear experiencias visuales, mientras que los desarrolladores están a cargo de asuntos quizás más complejos, como es el escribir código de las aplicaciones. En cualquier caso, ambos perfiles tienen que gestionar datos sensibles de manera frecuente.

Además, muchos de nosotros trabajamos en movilidad, a veces desde cafés o espacios compartidos, lo que podría dar lugar a usar redes poco seguras o incluso equipos informáticos que no son los tuyos. Ante todas estas situaciones, es importante estar bien protegido.

Este no es un artículo dedicado a la seguridad informática, tema extremadamente extenso, sino más bien a las prácticas que realizamos en nuestro día a día y que quizás están provocando riesgos. Esperamos que ayude a ser más precavidos y crear hábitos adecuados de cara a salvaguardar nuestra actividad profesional.

Amenazas para diseñadores y desarrolladores freelance

Para estar un poco más protegidos de ataques informáticos lo primero es comenzar por repasar las principales amenazas para los diseñadores y desarrolladores freelance, ya que son dos tipos de perfiles profesionales muy semejantes.

De hecho, los delincuentes digitales no distinguen entre programadores, ilustradores o diseñadores web. Al contrario, están siempre buscando fórmulas imaginativas para poder cazar a usuarios despistados, ya sea por correo, en las descargas o cualquier otro medio. Nadie está totalmente seguro, ni los freelance autónomos ni las grandes corporaciones o estudios consolidados.

Phishing disfrazado de cliente

Tenemos que tener cuidado con los emails, porque es el principal vector de infección en la actualidad. Ten en cuenta que un email con un supuesto briefing puede llevar a una web falsa. Pinchar el enlace e interactuar con la página puede exponerte a robo de datos importantes. También podría llegarte un archivo adjunto ejecutable que, en caso de ejecutarlo, instale un troyano o spyware en tu equipo.

Malware en software de diseño pirata

No queremos acusar a nadie pero la verdad es que todavía muchas personas usan software pirata, incluso para fines profesionales. Esto es un error, ya que en la actualidad existen programas gratuitos para hacer casi cualquier tipo de tarea. Incluso hay alternativas de pago muy económicas a programas caros más populares, que sin duda te van a permitir sacar tus mejores resultados. Por tanto, acudir a programas de dudosa procedencia no es una necesidad ni mucho menos.

Lo importante aquí es que no debes instalar versiones crackeadas de los programas, ya que los propios cracks a menudo introducen virus o caballos de troya. El problema puede ser mucho más caro de lo que te piensas.

Compartir archivos sin cifrado

Hoy compartimos todo a través de servicios en la nube como WeTransfer o Drive. Si tienes en ellos datos sensibles pueden ser un caramelo para un delincuente. Por tanto, asegúrate que los proyectos confidenciales viajen siempre protegidos. Tampoco sería aconsejable dar acceso público a un proyecto, por mucho que el enlace sea difícil de descubrir.

Ataques a cuentas en la nube

Ninguna plataforma en la nube, como Dropbox, Figma o Google Drive es totalmente segura. Todos los años se dan noticias de accesos no autorizados y robo de datos en algún servicio online, a veces bien conocido.

Es por ello que nunca debes usar la misma contraseña en todos los servicios y debes siempre activar la verificación en dos pasos, en caso de ser posible.

Subir un .env a un repositorio público

Creo que de los casos más sonados y más desastrosos en lo que respecta a la seguridad es la publicación de archivos de variables entorno a un repositorio público en GitHub. En estos archivos hay numerosas claves, como las de las bases de datos, y llaves privadas a APIs de proveedores cloud y servicios diversos.

Algunos desarrolladores que dejaron estas claves al descubierto, por no ignorar el .env, tuvieron una desagradable sorpresa cuando llegó la factura de los servicios en la nube. Pero todavía puede ser peor el dejar al descubierto las claves de tu base de datos, por poner solo un par de ejemplos.

Usar permisos incorrectos en las carpetas de un servidor

Otra cosa que a los desarrolladores les pasa a menudo es la incapacidad de ejecutar ciertos archivos que requieren permisos determinados en ciertas carpetas. Muchas veces en internet encontramos recomendaciones de poner los permisos a “777”. Es verdad que esta configuración permite resolver el problema, pero que abre una brecha de seguridad importante en el servidor.

Qué señales o síntomas podrían indicar que has sido atacado

Como profesionales debemos entender que proteger nuestros equipos de trabajo, o los proyectos, es parte de nuestras obligaciones. Un robo de datos puede ser negativo a nivel personal pero además puede afectar a sus clientes, por lo tanto, debes estar siempre alerta. Nadie desea perder reputación y al final, dinero.

Pero lo cierto es que los accidentes pueden ocurrir y es importante que sepamos identificar posibles problemas. De hecho, a menudo a pesar del perfil técnico de los diseñadores se ignoran los síntomas de un ataque. Incluso los delincuentes pueden camuflar sus acciones como errores de software, por lo que es a veces complicado reconocer todas las situaciones. Así que vamos a detallar las señales más importantes.

Emails con urgencia o mala ortografía

Este es un posible indicador de estar ante un ataque por phishing. Quizás ya nadie caiga en el típico mensaje de una entidad bancaria que te pide que cambies la clave, pero lo cierto es que cada día los delincuentes son más imaginativos.

Para protegerse es importante no solo comprobar el remitente, sino verificar a dónde están dirigidos los enlaces.

Programas o sistema operativo que se ralentiza

Es posible que tengas un malware instalado en tu ordenador, especialmente probable si has instalado software pirata.

Analiza qué procesos tienes ejecutándose en tu máquina y comprueba si ves algo sospechoso. Por supuesto, también sería bueno usar un antivirus o antimalware capaz de escanear tu equipo,

Archivos renombrados o que desaparecen

Esto puede ser un síntoma de acceso no autorizado a un servidor, o un ordenador de escritorio. Cambia los accesos y revisa todas tus contraseñas.

Sesiones abiertas desde países extraños

Si recibes mensajes de sesiones abiertas en tus aplicaciones del día a día es posible que estén accediendo a estos servicios debido a un robo de credenciales. Pero atento, verifica que el propio mensaje que te advierte de este problema no sea también un phishing.

En este caso te recomendamos cerrar la sesión y activar 2FA para que los posibles atacantes necesiten acceso a otros medios de comprobación de identidad.

Facturas hinchadas de servicios cloud

Ojo con este caso, que no es frecuente pero sí desastroso. Si te has dejado las credenciales de acceso a servicios cloud en algún archivo subido a un servidor de hosting de repositorios, alguien podría usar tu cuenta para crear servidores y realizar ataques desde ellos, envío de emails, u otras operaciones maliciosas.

Consejos prácticos de seguridad digital para diseñadores y desarrolladores

No hace falta ser informático para saber cómo proteger tu equipo y las actividades de tu día a día. Muchos de los siguientes consejos son de sentido común, pero desafortunadamente no siempre se tienen en cuenta. Voy a dar ahora algunos que considero fundamentales.

• Mantén tu software actualizado en todo momento. Esta es la primera necesidad para asegurar la salud de tu equipo. Programas antiguos, ya sean aplicaciones o el sistema operativo, pueden tener problemas de seguridad que los atacantes pueden usar para poder acceder a tu equipo. Debes tener un especial cuidado con los programas que gestionan conexiones de red o servicios de Internet, así como mantener actualizados tus sistemas operativos.
• Asegurarse de usar software original, ya que los programas piratas pueden tener parches maliciosos creados justamente para obtener tus datos personales o claves a servicios diversos.
• Usa contraseñas únicas, ya que si descubren una clave asociada a un servicio digital podrían acceder con esa misma clave a todos los servicios donde la hayas usado la misma contraseña. Además las contraseñas deben ser fuertes, es decir, suficientemente complejas y que incluyan diversos tipos de caracteres y tamaños de caja.
• Activa la verificación en dos pasos, si es que el servicio ofrece esa posibilidad. Si lo haces, incluso si roban tu clave, no podrán entrar sin el segundo factor de seguridad.
• Trabaja con redes seguras. Esto es muy importante porque cualquier red no segura puede exponer los datos que envías y recibes en ella. Al mismo tiempo, es importante que te conectes solo a redes en las que confíes. Usa VPN si accedes desde redes públicas. Por ejemplo, si trabajas desde un café o un aeropuerto es importante, ya que la VPN te ofrecerá la seguridad de que tus datos no puedan ser interceptados. Existen muchos servicios de redes privadas virtuales que puedes usar o buscar una mejor VPN si lo necesitas. Con ello podrás cifrar tus conexiones y evitar miradas indiscretas.
• Haz copias de seguridad externas, ya que siempre te darán la posibilidad de volver a un estado anterior en tu ordenador o proyecto, evitando pérdidas de datos o situaciones muy embarazosas ante ataques de ransomware.
• Asesora a todos los componentes de tu equipo de trabajo en asuntos relacionados con la seguridad, ya que el descuido de una persona puede acabar perjudicando a muchos. Atiende siempre al dicho, totalmente cierto, de que la seguridad es tan fuerte como el eslabón más débil.

Cómo proteger proyectos frente a ataques informáticos

Un error frecuente en el que solemos caer es pensar que los delincuentes solo van a por grandes empresas u organismos como el caso del Ayuntamiento de Elche. En realidad a los bandidos les da igual qué tan grande o pequeña sea su presa y muchas veces sueltan sus redes para que simplemente caiga el menos precavido.

En el caso de los freelancers (especialmente los descuidados) son un objetivo fácil porque suelen trabajar sin firewalls ni departamentos de IT que supervisen sus equipos. Además suelen usar sus ordenadores para todo tipo de tareas, tanto profesionales como personales, exponiendo sus equipos de trabajo a actividades que podrían dar problemas, como consumir productos crackeados para software laboral o de entretenimiento.

Es por tanto esencial que crees hábitos de seguridad que permitan una mayor protección, haciendo caso de los consejos anteriores. Sin embargo, cuando se trata de asegurar los proyectos es fundamental tener en cuenta otros factores.

Copias de seguridad

Primero las copias de seguridad, que ya hemos mencionado. Todos tus proyectos deberían tenerlas, para garantizar que no ocurra pérdida de datos o trabajo de días o semanas. En este punto además conviene ser muy escrupuloso y seguir recomendaciones extraordinarias.

• Realiza más de una copia de seguridad de los datos importantes
• Mantén las copias en dispositivos aislados
• De preferencia, en localizaciones físicas distintas.

Os cuento un caso que nos pasó a nosotros. No sé si alguien se acuerda cuando se quemó el centro de datos de Estrasburgo de OVH. Nuestras copias de seguridad se hacían y se dejaban en ese centro de datos, donde estaban además los propios servidores. ¿Qué pasó? Pues que nos quedamos sin la web y sin las copias de seguridad. Es cierto que nadie espera que se prenda fuego y se queme todo el edificio de un centro de datos, pero reconocemos que fue un error nuestro muy básico. Todos cometemos errores. Menos mal que teníamos una copia descargada que tenía solamente unas semanas de antigüedad y pudimos restaurar el sitio a partir de ella. Aún así se perdieron semanas de actualizaciones y cientos de usuarios.

Después de eso aprendimos la lección: las copias por duplicado y en localizaciones siempre diferentes.

Otras herramientas de seguridad

Además de las copias de seguridad, que es algo muy básico, también puedes usar herramientas de seguridad del tipo de anti-malware, que no es que nos guste demasiado, pero son básicas sobre todo en sistemas más comúnmente atacados como Windows.

Educación en seguridad

Si estáis trabajando en equipos grandes además os recomendamos un poco de educación sobre seguridad para que los integrantes no comprometan los equipos o los proyectos por culpa de malas prácticas, como claves inseguras o falta de actualización de los sistemas, especialmente en servicios donde se guardan datos críticos como puede ser Google Drive o Dropbox.

Conclusión

Con las medidas de seguridad que hemos comentado y el cuidado de mostrarte siempre alerta, deberían disminuir sensiblemente las amenazas. Recuerda que cada pequeña acción que haces puede convertirse en un riesgo, como descargar y ejecutar un archivo, abrir un adjunto de un email o dar de alta una contraseña. Con tu atención diaria estamos seguros que podrás mitigar los posibles problemas a los que nos exponemos como desarrolladores o diseñadores.