¿Cómo se custodian los activos digitales por uno mismo? Lista de verificación de 15 pasos del cofundador de OpenAI

Título original: Cómo mantenerse digitalmente seguro en la Era del Mito de Claude (utilizando la lista de verificación de 15 pasos de Karpathy)
Autor original: Ole Lehmann
Traducción: Peggy, BlockBeats

Nota del editor: A medida que las capacidades de la IA comienzan a acercarse al límite de una "herramienta general", el significado de la ciberseguridad también está cambiando. Ya no se trata solo de un problema de defensa contra hackers, virus o brechas de datos, sino que está evolucionando hacia un juego de "capacidades asimétricas."

Con la introducción de Claude Mythos por parte de Anthropic, que muestra un descubrimiento de vulnerabilidades a nivel de experto, los ataques en red están entrando en una nueva etapa más encubierta y automatizada, y la seguridad individual está pasando de ser una "opción" a una "necesidad." Por un lado, el umbral de ataque se está reduciendo, y por otro lado, la eficiencia del ataque está aumentando exponencialmente. Esto significa que la "seguridad pasiva" se volverá cada vez más insostenible.

En este contexto, la propuesta de "higiene digital" del cofundador de OpenAI, Andrej Karpathy, ofrece un camino de respuesta accionable. En la era de la IA, la seguridad ya no es solo un "remedio después de un incidente" sino parte del "comportamiento diario." Verificación de identidad, aislamiento de permisos, minimización de información y reforma de hábitos. Los aparentemente triviales 15 pasos reconstruyen esencialmente un límite de seguridad que un usuario ordinario puede controlar.

El verdadero riesgo no radica en si eres un objetivo de un ataque, sino en si estás indefenso cuando ocurre un ataque.

El siguiente es el texto original:

Lo que se puede asegurar es que en lo que respecta a la ciberseguridad, ya no tienes margen para ser perezoso.

El hito Mythos lanzado por Anthropic ayer marca un punto de no retorno.

Esta tecnología aún no es pública, pero una vez que caiga en manos de actores maliciosos (lo cual es casi inevitable)... te enfrentarás a un ciberataque extremadamente avanzado, con la mayoría de las personas dándose cuenta de que es demasiado tarde incluso antes de ser conscientes de que han sido vulneradas.

Es como el "COVID-19 del mundo del software."

Es por esta razón que a partir de ahora, tu ciberseguridad debe ser a prueba de balas.

Guía de Higiene Digital de Karpathy

El año pasado, Andrej Karpathy (@karpathy, cofundador de OpenAI) compiló una "Guía de Higiene Digital", delineando sistemáticamente métodos fundamentales para protegerse en la era de la IA.

Esta es una de las guías introductorias más valiosas que he encontrado.

Aquí están todas las medidas de seguridad que deberías tomar en esta era de incertidumbre:

1. Usa un Gestor de Contraseñas (por ejemplo, 1Password)

Genera una contraseña aleatoria única para cada cuenta que poseas. Una vez que un servicio es vulnerado, los atacantes a menudo utilizan estas contraseñas de cuenta para ataques de relleno de credenciales. Un gestor de contraseñas puede mitigar completamente este riesgo e incluso puede autocompletar, haciéndolo más rápido en la práctica que reutilizar contraseñas.

2. Configura Claves de Seguridad Hardware (por ejemplo, YubiKey)

Este es un dispositivo físico que sirve como el segundo factor para iniciar sesión. Los atacantes deben "tener la llave física" para acceder a tu cuenta. En contraste, los códigos SMS son fácilmente robados a través de ataques de intercambio de SIM (donde alguien se hace pasar por ti ante el operador para transferir tu número a su teléfono).

Se recomienda comprar de 2 a 3 YubiKeys, mantenerlas en diferentes lugares para evitar quedar bloqueado de tus cuentas si se pierde una.

3. Habilitar la biometría en todas partes

Por ejemplo, Face ID, el reconocimiento de huellas dactilares, etc., deberían estar habilitados en los gestores de contraseñas, aplicaciones bancarias y aplicaciones críticas. Esta es la tercera capa de autenticación: "tú" mismo. Nadie puede robar tu cara de una base de datos.

4. Trata las preguntas de seguridad como contraseñas

Preguntas como "¿Cuál es el apellido de soltera de tu madre?" se pueden encontrar en línea en 10 segundos. Deberías generar una respuesta aleatoria y almacenarla en tu gestor de contraseñas. Nunca proporciones información real.

5. Activar la encriptación de disco

En Mac, se llama FileVault; en Windows, se llama BitLocker. Si tu ordenador es robado, la encriptación asegura que todo lo que el ladrón obtenga sea un "ladrillo" en lugar de todos tus datos. Habilitar esto solo toma 2 minutos y se ejecuta automáticamente en segundo plano.

6. Reducir dispositivos inteligentes en el hogar

Cada "dispositivo inteligente" es esencialmente un ordenador conectado con un micrófono. Recogen datos de forma continua, se conectan a internet con frecuencia y a menudo son comprometidos. Tu monitor de calidad del aire para el hogar inteligente no necesita conocer tu ubicación exacta. Cuantos menos dispositivos haya, menos vectores de ataque existirán.

7. Usa Signal para la comunicación

Signal proporciona cifrado de extremo a extremo, impidiendo que nadie (incluyendo la plataforma misma, tu operador, o los espías) pueda leer el contenido. Los SMS regulares e incluso iMessage retienen metadatos (quién, cuándo, frecuencia de contacto). Activa "Mensajes que desaparecen" (por ejemplo, 90 días) para evitar retener el historial como un riesgo.

8. Usa navegadores enfocados en la privacidad (por ejemplo, Brave)

Basado en Chromium, compatible con extensiones de Chrome, ofreciendo una experiencia de usuario casi idéntica.

9. Cambia el motor de búsqueda predeterminado a Brave Search

Tiene su propio índice (a diferencia de DuckDuckGo, que depende de Bing). Si un resultado de búsqueda no es satisfactorio, puedes añadir "!g" para cambiar a Google. La versión de pago, alrededor de 3 dólares al mes, vale la pena: te conviertes en un cliente, no en el "producto que se vende."

10. Usa tarjetas de crédito virtuales (por ejemplo, Privacy.com)

Genera un número de tarjeta único para cada comerciante y establece límites de gasto. Incluso puedes proporcionar nombres y direcciones aleatorias. Si un comerciante está comprometido, solo se expone el número de tarjeta desechable, no tu verdadera identidad financiera.

11. Utiliza una dirección de correo virtual

Servicios como Virtual Post Mail recibirán tu correo físico, escanearán el contenido y te permitirán verlo en línea.

Puedes decidir qué artículos descartar y cuáles reenviar. De esta manera, no tienes que dar tu verdadera dirección de casa a varios minoristas desconocidos cada vez que realizas una compra en línea.

12. No hagas clic en enlaces en correos electrónicos

Las direcciones de correo electrónico son extremadamente fáciles de falsificar. Con la ayuda de la IA, los correos electrónicos de phishing de hoy son casi indistinguibles de los reales. En lugar de hacer clic en enlaces, introduce manualmente la dirección del sitio web e inicia sesión.

Al mismo tiempo, desactiva la función de carga automática de imágenes en tu correo electrónico, ya que las imágenes incrustadas a menudo se utilizan para rastrear si has abierto el correo.

13. Utiliza un VPN de forma selectiva (por ejemplo, Mullvad)

Un VPN (Red Privada Virtual) puede ocultar tu dirección IP (el identificador único de tu dispositivo y ubicación) de los servicios a los que accedes. No necesita estar encendido todo el tiempo, pero asegúrate de usarlo cuando estés en Wi-Fi público o accediendo a servicios menos confiables.

14. Configura el bloqueo de anuncios a nivel de DNS (por ejemplo, NextDNS)

El DNS se puede considerar como la "guía telefónica" de un dispositivo para buscar sitios web. Bloquear a este nivel significa que los anuncios y rastreadores se detienen antes de que se carguen.

Y funciona para todas las aplicaciones y navegadores en tu dispositivo.

15. Instala herramientas de monitoreo de red (por ejemplo, Little Snitch)

Te muestra qué aplicaciones en tu ordenador están conectándose a internet, cuántos datos están enviando y hacia dónde se dirigen esos datos. Cualquier aplicación con una frecuencia de "llamada a casa" anormalmente alta debería levantar una bandera roja y probablemente ser desinstalada.

Actualmente, Mythos permanece únicamente en manos del lado de defensa del Proyecto Glasswing (como Anthropic, Apple, Google, etc.). Sin embargo, los modelos con capacidades similares pronto caerán en manos de actores maliciosos (posiblemente en 6 meses o incluso antes).

Por eso es crucial reforzar tus defensas de seguridad ahora. Dedicar 15 minutos a completar estas configuraciones puede ayudarte a evitar una serie de problemas graves en el futuro.

Mantente seguro y te deseo lo mejor.

[Enlace al Artículo Original]