El mito de la seguridad "suficientemente buena"

1. Contraseñas: delega la entropía a la máquina

Los humanos generamos mal la aleatoriedad. Cuando intentamos ser ingeniosos, creamos patrones que las herramientas de cracking están diseñadas para explotar.

Usa un gestor de contraseñas para que cada cuenta tenga una contraseña única y de alta entropía generada por software, no por memoria.

El único secreto que recuerdes debe ser una frase larga, y la bóveda debe usar una derivación moderna como Argon2id.

2. Autenticación: ligada al origen, no solo dos factores

Los códigos tradicionales de dos factores ayudan, pero aún pueden robarse mediante phishing en tiempo real. SMS es especialmente frágil por los SIM swaps y portabilidades.

FIDO2 y WebAuthn cambian el protocolo. Una passkey o llave hardware demuestra posesión de una clave privada para un origen web específico, por lo que un dominio de phishing no puede reutilizarla.

• Llaves de seguridad y passkeys: resistentes al phishing y ligadas al origen.
• Apps autenticadoras: útiles, pero vulnerables al phishing en tiempo real.
• Códigos SMS o email: mejor evitarlos en cuentas valiosas.

3. Mensajería: el cifrado no es una casilla

El cifrado de extremo a extremo protege el contenido, pero los detalles de diseño importan. La confidencialidad directa protege mejor conversaciones antiguas si una clave de largo plazo se compromete después.

Los mensajes que desaparecen reducen los datos que quedan atrás. Los datos que ya no existen no pueden rasparse, exigirse legalmente ni filtrarse meses después.

El cifrado no elimina metadatos y no ayuda si un atacante controla tu dispositivo desbloqueado.

4. Higiene de red: la realidad de las VPN

Una VPN no es una capa de invisibilidad. Cambia la confianza desde la red local hacia el proveedor VPN.

Úsala cuando resuelve un problema concreto: Wi-Fi hostil, censura o manipulación de tráfico. No esperes que arregle mala higiene del navegador o autenticación débil.

Protocolos modernos como WireGuard son atractivos porque su diseño es compacto, auditable y construido sobre primitivas criptográficas bien entendidas.

5. Navegadores: donde realmente caen muchas cuentas

Muchas tomas de cuenta empiezan con cookies de sesión robadas, no con criptografía rota. El navegador es un entorno de alto riesgo lleno de scripts, extensiones y sesiones largas.

Mantén las extensiones al mínimo, bloquea scripts de terceros de forma agresiva y separa identidades con perfiles o contenedores cuando sea posible.

La autenticación resistente al phishing importa mucho aquí: una llave hardware ligada al origen se niega a participar en el dominio equivocado.

6. Compartir de forma segura: reducir el radio de daño

A veces hay que compartir secretos, pero el correo y los chats de trabajo crean deuda de seguridad permanente mediante registros, copias, vistas previas y metadatos.

El patrón más seguro es compartir de forma efímera y cifrada del lado del cliente: cifrar antes de subir, no guardar claves en el servidor y caducar rápido.

La efimeridad no es un truco. Es minimización de datos aplicada a flujos humanos.

Una base de fin de semana

La seguridad no es un estado binario. Es fricción incremental aplicada en los lugares correctos.

El objetivo no es ser imposible de hackear. Es hacer que el coste de atacarte sea mayor que el valor de los datos obtenidos.

1. Mueve cuentas sensibles a contraseñas únicas generadas por un gestor.
2. Añade autenticación respaldada por hardware a tu identidad principal, especialmente el correo.
3. Audita y elimina extensiones de navegador innecesarias.
4. Mueve conversaciones sensibles a una mensajería cifrada de extremo a extremo con mensajes que desaparecen.