Suscríbete

Faro de Vigo

Contenido exclusivo para suscriptores digitales

Ladrones a la sombra de un clic

No abrir correos de desconocidos, comprobar que las webs visitadas sean legítimas y utilizar contraseñas robustas, algunas claves para no ser víctima de un ciberdelito

Un hombre, introduciendo los datos de una tarjeta en el ordenador FDV

Los tiempos cambian y con ellos, las estafas, que ahora tienen como escenario las pantallas electrónicas. No es de extrañar que con el auge del comercio electrónico en los últimos año estas prácticas delictivas estén al orden del día. Los ciberdelicuentes acechan detrás de cada clic, preparados para suplantar a comercios y empresas de mensajería para hacerse con datos personales del usuario. Y Navidad es una época perfecta. Un libro del CSIC describe las prácticas delictivas más comunes en la red y expone una serie de consejos para no caer en una trampa que puede salir muy cara.

Los ciberdelitos aumentaron en España un 35% en 2019 con respecto al año anterior. Como resultado, el 10% de todos los delitos cometidos el pasado año (218.032) se realizaron por medios digitales. De estos, solo el 15% lograron resolverse y más del 85% (192.375) correspondieron a fraudes informáticos o estafas, según datos de la Secretaría de Estado de Seguridad.

Los ciberdelincuentes aprovechan cualquier resquicio para colarse en el sistema informático y extraer de él todo lo que sea aprovechable: contraseñas, claves para acceder a cuentas bancarias, datos de tarjetas, etcétera. Una de las estafas de reciente cuño es la campaña de envío de correos electrónicos falsos que suplantan la identidad de las empresas de mensajería –incluido el propio servicio de Correos–, que redirigen al usuario a una página falsa (“phishing”) que simula ser la web legítima de la firma suplantada.

En esta página falsa, se le solicita realizar un pago de 1,99 euros o rellenar un formulario, depende de la versión, para validar la recepción de un supuesto paquete. En una época como la navidad, en la que puede que algún pedido sufra algún retraso, no es tan difícil picar el anzuelo.

Hacer públicas la lista de deseos en las grandes plataformas del comercio electrónico también puede ser otra trampa porque los ciberdelicuentes pueden averiguar el email del usuario para enviarle un correo de “phishing” suplantando a una tienda con el anzuelo de un supuesto descuento.

El “phishing” –homófono inglés de “fishing” (pesca)– es uno de los ataques que recogen David Arroyo, Víctor Gayoso y Luis Hernández, investigadores del CSIC en el Instituto de Tecnologías Físicas y de la Información (ITEFI), en “Ciberseguridad”, el último libro de la colección ¿Qué sabemos de?”, que aborda el problema de la seguridad de la información almacenada o transmitida en el ciberespacio.

El CSIC recoge en un libro los ciberdelitos más comunes en España

El “phishing” suele estar relacionado con ataques de “ingeniería social”, que buscan engañar a los usuarios para que faciliten de manera voluntaria información personal confidencial (contraseñas o datos bancarios) que permita el acceso a un equipo e instalar “software” malicioso (“malware”) para robar los datos. “Es una práctica común porque, en ocasiones, es más sencillo engañar a un usuario que vulnerar la seguridad de sus equipos informáticos”, apuntan los científicos del CSIC.

Los ataques de denegación de servicio (DDoS) contra sitios web, en los que se hace un uso masivo de dispositivos conectados a la Internet de las cosas o de teléfonos móviles que no están protegidos convenientemente; el robo de datos personales por piratas informáticos, pero también por empresas y estados, como demuestra el caso de Cambridge Analytica; o las vulnerabilidades que afectan a la mayoría de los fabricantes de procesadores, como Intel, AMD y ARM son otras de las tantas amenazas analizadas en “Ciberseguridad”.

El texto incluye numerosos consejos para preservar la seguridad de los usuarios. No abrir correos electrónicos de remitentes desconocidos, comprobar que las páginas visitadas sean legítimas, utilizar contraseñas robustas que mezclen mayúsculas y minúsculas, números y signos de puntuación o guardar las contraseñas en un sitio seguro son algunas de las medidas propuestas para evitar la suplantación de identidad.

Para quienes utilicen ordenadores, los autores insisten en la necesidad de mantener actualizado el sistema operativo y el “software”, utilizar programar antimalware o limitar los accesos con roles de administrador a la computadora. En el caso de los móviles, subrayan la importancia de utilizar un PIN o un patrón gráfico de desbloqueo que contenga entre seis y ocho dígitos o puntos de malla, no conectarse mediante redes públicas no confiables (bares, restaurantes, hoteles o aeropuertos) si se van a transmitir datos confidenciales o personales o no conectar el dispositivo a puertos USB que no sean de confianza. También recomiendan no descargar “software” de lugares no confiables o revisar los permisos que las aplicaciones solicitan: “Si un usuario desea instalarse una lupa o una linterna, no debería consentir que tal aplicación pidiera permiso para acceder a sus contactos o a la agenda”, advierten los autores del libro.

En ambos tipos de dispositivos, los científicos aconsejan el uso de herramientas antiseguimiento: extensiones o complementos de los navegadores que bloquean elementos como “scripts”, ventanas emergentes, “cookies”, botones sociales o anuncios.

El libro distingue entre tres tipos de profesionales de la seguridad: los “hackers” de sombrero blanco o éticos, cuyo objetivo es ayudar a mejorar la seguridad de la entidad para la que trabajan; los “hackers” de sombrero gris, que buscan mejorar la seguridad, pero utilizan métodos que no son éticos, como la divulgación de vulnerabilidades; y los “hackers” de sombrero negro, que persiguen una ganancia personal a través de actividades maliciosas o de amenazas.

Estos últimos son los “ciberdelincuentes”, que a su vez pueden dividirse en dos grupos: los “profesionales”, que proceden del mundo empresarial o son pagados por los gobiernos generalmente con el fin de robar datos confidenciales, y “ladrones”, que utilizan datos o identidades robadas para obtener un ingreso monetario. Se calcula que, en 2018, más del 80% de la activi­dad dañina se debió a los ciberdelincuentes, cuyas principales formas de actuación son la propagación de código malware a través del correo electrónico –más del 60% del tráfico mundial de correo electrónico en 2018 contenía software dañino–, el “phishing” basado en técnicas de ingeniería social y la puesta en marcha de plataformas en las que se ofrecen servicios para llevar a cabo ciberdelitos.

Otros perfiles mencionados en el libro son los “ciberterroristas” y los “hacktivistas”, que, junto a la acción de otros estados, constituyen la principal amenaza para la ciberseguridad nacional. “La mayor parte de los gobiernos sufren ataques desarrollados en otros países, ya sean desplegados por los propios estados o por grupos subvencionados por tales estados”, afirman los autores de “Ciberseguridad”.

 “Los principa­les objetivos de estos ataques son conse­guir información política y estratégica y el sabotaje, es decir, la interrupción de la normal prestación de servicios esenciales y tra­tar de influir en la opinión pública de los países atacados”, añaden.

Por último, los especialistas del CSIC se ocupan del personal interno: “usuarios normales o con privilegios, “insiders”, que por ne­gligencia o por maldad pueden resultar dañinos a una em­presa u organización”. Se calcula que alrededor del 25% de los incidentes en entornos corporativos se debe a perso­nal interno.

El riesgo del teletrabajo

“Es deseable que todos los teletrabajadores sigan unas buenas prácticas de ciberhigiene"

decoration

Los autores critican que las herramientas de teletrabajo, que desde marzo de 2020 han experimentado un crecimiento estimado del 84%, se han adoptado de modo improvisado. “Es deseable que todos los teletrabajadores sigan unas buenas prácticas de ciberhigiene, como evitar la instalación de software no autorizado por los responsables de cibersegu­ridad, no conectarse a redes wifi públicas o no responder co­rreos sospechosos de ‘phishing’. Ahora bien, una buena política de seguridad no asume sin más que esas normas de ciberhigiene se van a cumplir, sino que establece mecanismos de control para salvaguardar la seguridad en caso de incum­plimiento. Pues bien, en la crisis de la COVID-19 el teletraba­jo se desplegó, en muchos casos, sin que los trabajadores tu­vieran arraigada esa disciplina de ciberhigiene y sin que su empresa tuviera diseñada una política de seguridad adecua­da”, afirman los científicos del CSIC.

Esta situación ha propiciado que “el virus biológico y el virus cibernético hayan progresado casi a la par”, ya que “los ‘malos’ -como diplomáticamente, y de forma ha­bitual, uno se refiere a los atacantes- son conscientes de que el usuario medio es el eslabón más débil en la cadena de segu­ridad, por lo que sus ataques se dirigen a quienes le oponen menos resistencia”, agregan.

Compartir el artículo

stats