Clase 6: Seguridad digital

Clase 6: Seguridad digital#

⏱️ Duración: 1 hora 💻📱 Dispositivo: celular y computadora

Para qué les sirve#

Hasta acá aprendimos a usar las herramientas. Esta clase es para usarlas con tranquilidad: saber distinguir cuándo algo es real y cuándo es trucho, y poner candados extra para que aunque alguien intente robarles datos, no pueda.

Es la clase más importante del curso desde el lado de la seguridad. La mayoría de las estafas digitales caen apenas la persona conoce dos o tres trucos básicos.

Antes de empezar#

  • Celular y computadora.

  • El cuadernito de contraseñas que vimos en clase 1 (lo van a actualizar acá).

  • Saber sus contraseñas de Gmail y WhatsApp.

Paso a paso#

1. Cómo leer una dirección de internet (URL)#

Una URL es la dirección de un sitio web. Ejemplos:

  • bancogalicia.com.ar

  • google.com

  • anses.gob.ar

Aprender a leerlas bien es lo más importante de toda esta clase, porque las estafas usan URLs que se parecen a las reales pero no lo son.

Truco para leer una URL:

La parte que importa está justo antes del primer /. Eso es el dueño real del sitio.

URL completa

Dueño real

https://bancogalicia.com.ar/login

bancogalicia.com.ar ✅

https://galicia.fake-site.com/login

fake-site.com ❌

https://anses.gob.ar/jubilados

anses.gob.ar ✅

https://anses-tramites.online/actualizar

anses-tramites.online ❌

Fíjense en el segundo y cuarto caso: el nombre conocido («galicia», «anses») aparece al principio para confundir, pero el dueño real (el último nombre antes del /) es otro.

Otras señales de URLs sospechosas:

  • Errores chiquitos: gallicia.com (doble L), bancogalícia.com (tilde rara), merca-libre.com (con guion).

  • Terminaciones raras: .online, .xyz, .click, .info. No están prohibidas, pero son menos habituales en sitios oficiales.

  • Subdominios larguísimos: seguridad-banco-galicia-actualizacion.com.

Truco

Los sitios oficiales del gobierno argentino terminan en .gob.ar. Cualquier «anses», «afip» o «ministerio» con otra terminación es falso.

2. El candadito 🔒 y la «s» de https#

Al lado de la dirección, casi siempre arriba a la izquierda, ven un candadito 🔒. Y la dirección empieza con https:// (con s) en vez de http://.

Qué significa el candadito: la conexión está encriptada. Lo que mandan al sitio (contraseña, datos personales) no se puede leer si alguien intercepta el tráfico en el camino. Es como hablar en un cuarto cerrado en vez de gritar en el balcón.

Advertencia

El candadito NO garantiza que el sitio sea legítimo.

Solo garantiza que la conexión es privada. Un sitio trucho también puede tener candadito. Lo único que el candadito asegura es que nadie de afuera ve lo que mandan, pero los datos llegan igual al estafador si el sitio es falso.

O sea: el candadito es necesario pero no suficiente. Si no tiene candadito, no entren. Si tiene candadito, igual lean la URL completa.

3. Cuando el navegador les avisa que algo anda mal#

A veces Chrome (u otro navegador) les muestra un cartel rojo o naranja con mensajes como:

  • «Tu conexión no es privada»

  • «Atención: posible sitio engañoso»

  • «Conexión no segura»

Si aparece ese cartel: cierren la pestaña. No lo ignoren.

El navegador detecta cosas que ustedes no pueden ver a simple vista (certificados vencidos, sitios reportados como estafas, etc.). Confíen en el aviso.

Advertencia

Algunos carteles tienen un botón «Avanzar de todos modos» o «Continuar a sitio». No lo toquen. No es para gente común, es para programadores que están probando algo y saben lo que hacen.

4. La regla de oro: para datos importantes, dirección a mano#

Para entrar al banco, a ANSES, al mail, o a cualquier lugar donde van a meter contraseña o datos sensibles:

  1. No usen links que les llegan por mail, SMS o WhatsApp.

  2. Escriban la dirección a mano en el navegador (bancogalicia.com.ar).

  3. O usen un favorito que ustedes mismos hayan guardado.

¿Por qué? Porque los links de mail y WhatsApp son el vehículo principal del phishing. Aunque el mensaje parezca real, si tocan el link pueden terminar en un sitio falso idéntico al verdadero.

Cómo guardar un favorito en Chrome (lo hacen una vez y queda):

  1. Entren al sitio real (ej: bancogalicia.com.ar).

  2. Toquen la estrellita ⭐ que está al lado de la dirección, arriba.

  3. Le ponen un nombre fácil («Banco») y guardan.

A partir de ahí, abrir el banco es un toque al favorito, no escribir nada.

5. Quiz rápido: ¿cuál es la URL real?#

Practiquen. Para cada par, piensen primero cuál es el sitio oficial y cuál el falso, y después abran la respuesta.

🏦 ¿Cuál es Banco Galicia? bancogalicia.com.ar/login vs galicia-seguridad.com/login

La real es bancogalicia.com.ar.

galicia-seguridad.com tiene el nombre del banco al principio para confundir, pero el dueño del sitio es galicia-seguridad.com, no el banco.

🇦🇷 ¿Cuál es ANSES? anses.gob.ar/jubilados vs anses-online.info/jubilados

La real es anses.gob.ar.

Los sitios del gobierno argentino terminan en .gob.ar. Cualquier «anses» con otra terminación (.com, .info, .online) es falso.

📧 ¿Cuál es Gmail? mail.google.com vs gmail-login.com

La real es mail.google.com.

Gmail vive bajo google.com. Cualquier cosa que diga «gmail» pero no termine en google.com es trucho.

🛒 ¿Cuál es Mercado Libre? mercadolibre.com.ar vs merca-libre.com.ar

La real es mercadolibre.com.ar (todo junto, sin guion).

💳 ¿Cuál es Mercado Pago? mercadopago.com.ar vs mercadopago-cobros.com

La real es mercadopago.com.ar.

Cualquier cosa con guiones o agregados (-cobros, -seguridad, -pagos) es invento.

6. Verificación en dos pasos (2FA): el cinturón de seguridad#

La verificación en dos pasos (también llamada «2FA» o «doble factor») es como una segunda cerradura en la puerta de casa.

Aunque alguien les robe la contraseña, no puede entrar a su cuenta porque también necesita un código que solo llega al celular de ustedes.

Es la mejor protección que hay. Y se activa una sola vez. Si activan una sola cosa de toda esta clase, que sea esto.

6.1 Activar 2FA en WhatsApp#

  1. Abren WhatsApp.

  2. Tocan los tres puntitos ⋮ arriba a la derecha → Ajustes.

  3. Tocan CuentaVerificación en dos pasosActivar.

  4. Inventan un PIN de 6 dígitos. No usen fecha de nacimiento, 123456, ni números fáciles. Algo como 492817.

  5. Anótenlo en el cuadernito de contraseñas. Si lo pierden, no pueden recuperar WhatsApp fácil.

  6. Agregan un mail de respaldo (su Gmail). Si alguna vez olvidan el PIN, les llega ahí cómo recuperarlo.

  7. Confirman.

A partir de ahora, si alguien intenta instalar su WhatsApp en otro celular, le va a pedir el PIN. Sin PIN, no entra. Esto protege específicamente contra la estafa del «perdí el celu» que vimos en clase 1.

6.2 Activar 2FA en Gmail#

  1. En la computadora, van a myaccount.google.com.

  2. En el menú de la izquierda, eligen Seguridad.

  3. Buscan Verificación en dos pasos y tocan Activar.

  4. Confirman con la contraseña de Gmail.

  5. Google les pide su número de celular. Lo escriben.

  6. Les llega un código por SMS. Lo escriben donde dice.

  7. Confirman.

A partir de ahora, cuando entren a Gmail desde un dispositivo nuevo (un celular distinto, otra compu), además de la contraseña les va a pedir un código que llega al celular.

Truco

Para probar que funciona: cierren sesión de Gmail (foto arriba a la derecha → Cerrar sesión) y vuelvan a entrar. Después de la contraseña debería pedirles el código del celular.

7. Pop-ups truchos: «su computadora está infectada»#

A veces, navegando, aparece un cartel grande que dice algo así:

⚠️ ATENCIÓN: SU COMPUTADORA TIENE 9 VIRUS

Llame YA al 0800-XXX-XXXX para limpiarla. Si no actúa ahora, sus archivos serán eliminados.

A veces con sonido de alarma. A veces el cartel no se deja cerrar.

Esto es 100% estafa. Su computadora no está infectada. Es solo una página web haciendo ruido para asustarlos y que llamen.

Qué hacer:

  1. NO llamar al número.

  2. NO instalar nada que les diga descargar.

  3. NO meter datos ni tarjeta.

  4. Cerrar la pestaña (la X en la pestañita arriba). Si la X no funciona, cerrar el navegador entero.

  5. ✅ Si vuelve a aparecer cuando reabren el navegador, reiniciar la computadora.

Importante

Microsoft, Google, Apple y los bancos jamás llaman ni mandan pop-ups así. Si una página dice «su computadora está infectada, llame al 0800», es estafa sin excepción.

8. WiFi público: cuándo importa#

El WiFi «gratis» del café, el aeropuerto, el hospital o un shopping es cómodo pero menos seguro que el de su casa.

En una red pública, otras personas conectadas pueden, en teoría, espiar parte del tráfico. Para sitios normales (mirar el diario, buscar algo en Google, ver mapas) no es problema. Para datos sensibles, sí.

Lo que hacen

WiFi público

WiFi de casa o datos móviles

Leer el diario, buscar en Google, mapas

✅ OK

✅ OK

Mandar mensajes por WhatsApp

✅ OK

✅ OK

Entrar al banco, hacer transferencias

❌ Evitar

✅ OK

Comprar online con tarjeta

❌ Evitar

✅ OK

Sitios con contraseña importante

⚠️ Mejor no

✅ OK

Si necesitan urgente hacer banking estando afuera de casa: desconecten el WiFi público y usen los datos móviles del celular. Lo poco que gasten vale la pena.

Ejercicios para hacer en clase#

  1. ✅ Leer 5 URLs y decir cuál es la real (lo hacemos juntos con el quiz del paso 5).

  2. ✅ Buscar el candadito 🔒 en el navegador, en el sitio del banco.

  3. ✅ Guardar 3 favoritos en Chrome: banco, ANSES, Gmail.

  4. ✅ Activar verificación en dos pasos en WhatsApp y anotar el PIN.

  5. ✅ Activar verificación en dos pasos en Gmail.

  6. ✅ Cerrar sesión de Gmail y volver a entrar para comprobar que pide el código.

📝 Tarea para la semana#

  • Día 1: Cada vez que toquen un link, mirar la URL primero antes de tocar. Acostumbrarse a leer.

  • Día 2: Hacer una lista en Google Docs de los sitios oficiales que más usan (banco, obra social, ANSES, ARCA, servicios) con sus URLs reales escritas.

  • Día 3: Guardar esos sitios como favoritos en Chrome.

  • Día 4: Buscar en el mail los últimos 10 mensajes que les pidieron «verificar cuenta» y borrarlos sin tocar nada.

  • Día 5: Hacer el Simulacro de phishing con los 8 ejemplos. Contarme cuántos acertaron.

Si algo sale mal#

«Activé la verificación en dos pasos en WhatsApp y me pide el PIN cada vez que abro la app.»

WhatsApp no debería pedirlo siempre, solo cada cierto tiempo o al instalar la app en un dispositivo nuevo. Si lo pide todo el tiempo, revisen Ajustes → Cuenta → Verificación en dos pasos y verifiquen la configuración.

«Perdí el PIN de WhatsApp.»

Si pusieron mail de respaldo, sigan los pasos para recuperarlo desde ese mail. Si no pusieron mail, hay que esperar 7 días para resetearlo (es una medida de seguridad de WhatsApp).

«Entré a un sitio y no veo el candadito.»

Salgan inmediatamente. No metan datos. Avisenme.

«El navegador me muestra un cartel rojo y no entiendo qué dice.»

Cierren la pestaña. Sáquenme una captura y me preguntan antes de volver a intentar.

«Toqué un link sin querer y se abrió algo raro.»

Cierren la pestaña inmediatamente. Si pueden, cierren todo el navegador. Si metieron datos en el sitio que se abrió: cambien la contraseña del servicio afectado y avisenme.

«Me llamó alguien diciendo que era de Microsoft / del banco / de ANSES.»

Cortar. Llamar al sitio oficial usando el número que figura en la tarjeta o en el sitio oficial. Microsoft, los bancos y ANSES no llaman así.

➡️ Próxima página: Simulacro de phishing, donde practican con 8 ejemplos reales todo lo que vieron en esta clase.