Los ciberdelitos aumentaron en España un 35% en 2019 con respecto al año anterior. Como resultado, el 10% de todos los delitos cometidos el pasado año (218.032) se realizaron por medios digitales. De estos, solo el 15% lograron resolverse y más del 85% (192.375) correspondieron a fraudes informáticos o estafas, según datos de la Secretaría de Estado de Seguridad.
Los ciberdelincuentes aprovechan cualquier resquicio para colarse en el sistema informático y extraer de él todo lo que sea aprovechable: contraseñas, claves para acceder a cuentas bancarias, datos de tarjetas, etcétera. Una de las estafas de reciente cuño es la campaña de envío de correos electrónicos falsos que suplantan la identidad de las empresas de mensajería –incluido el propio servicio de Correos–, que redirigen al usuario a una página falsa (“phishing”) que simula ser la web legítima de la firma suplantada.
En esta página falsa, se le solicita realizar un pago de 1,99 euros o rellenar un formulario, depende de la versión, para validar la recepción de un supuesto paquete. En una época como la navidad, en la que puede que algún pedido sufra algún retraso, no es tan difícil picar el anzuelo.
Hacer públicas la lista de deseos en las grandes plataformas del comercio electrónico también puede ser otra trampa porque los ciberdelicuentes pueden averiguar el email del usuario para enviarle un correo de “phishing” suplantando a una tienda con el anzuelo de un supuesto descuento.
El “phishing” –homófono inglés de “fishing” (pesca)– es uno de los ataques que recogen David Arroyo, Víctor Gayoso y Luis Hernández, investigadores del CSIC en el Instituto de Tecnologías Físicas y de la Información (ITEFI), en “Ciberseguridad”, el último libro de la colección ¿Qué sabemos de?”, que aborda el problema de la seguridad de la información almacenada o transmitida en el ciberespacio.
El “phishing” suele estar relacionado con ataques de “ingeniería social”, que buscan engañar a los usuarios para que faciliten de manera voluntaria información personal confidencial (contraseñas o datos bancarios) que permita el acceso a un equipo e instalar “software” malicioso (“malware”) para robar los datos. “Es una práctica común porque, en ocasiones, es más sencillo engañar a un usuario que vulnerar la seguridad de sus equipos informáticos”, apuntan los científicos del CSIC.
Los ataques de denegación de servicio (DDoS) contra sitios web, en los que se hace un uso masivo de dispositivos conectados a la Internet de las cosas o de teléfonos móviles que no están protegidos convenientemente; el robo de datos personales por piratas informáticos, pero también por empresas y estados, como demuestra el caso de Cambridge Analytica; o las vulnerabilidades que afectan a la mayoría de los fabricantes de procesadores, como Intel, AMD y ARM son otras de las tantas amenazas analizadas en “Ciberseguridad”.
El texto incluye numerosos consejos para preservar la seguridad de los usuarios. No abrir correos electrónicos de remitentes desconocidos, comprobar que las páginas visitadas sean legítimas, utilizar contraseñas robustas que mezclen mayúsculas y minúsculas, números y signos de puntuación o guardar las contraseñas en un sitio seguro son algunas de las medidas propuestas para evitar la suplantación de identidad.
Para quienes utilicen ordenadores, los autores insisten en la necesidad de mantener actualizado el sistema operativo y el “software”, utilizar programar antimalware o limitar los accesos con roles de administrador a la computadora. En el caso de los móviles, subrayan la importancia de utilizar un PIN o un patrón gráfico de desbloqueo que contenga entre seis y ocho dígitos o puntos de malla, no conectarse mediante redes públicas no confiables (bares, restaurantes, hoteles o aeropuertos) si se van a transmitir datos confidenciales o personales o no conectar el dispositivo a puertos USB que no sean de confianza. También recomiendan no descargar “software” de lugares no confiables o revisar los permisos que las aplicaciones solicitan: “Si un usuario desea instalarse una lupa o una linterna, no debería consentir que tal aplicación pidiera permiso para acceder a sus contactos o a la agenda”, advierten los autores del libro.
En ambos tipos de dispositivos, los científicos aconsejan el uso de herramientas antiseguimiento: extensiones o complementos de los navegadores que bloquean elementos como “scripts”, ventanas emergentes, “cookies”, botones sociales o anuncios.
El libro distingue entre tres tipos de profesionales de la seguridad: los “hackers” de sombrero blanco o éticos, cuyo objetivo es ayudar a mejorar la seguridad de la entidad para la que trabajan; los “hackers” de sombrero gris, que buscan mejorar la seguridad, pero utilizan métodos que no son éticos, como la divulgación de vulnerabilidades; y los “hackers” de sombrero negro, que persiguen una ganancia personal a través de actividades maliciosas o de amenazas.
Estos últimos son los “ciberdelincuentes”, que a su vez pueden dividirse en dos grupos: los “profesionales”, que proceden del mundo empresarial o son pagados por los gobiernos generalmente con el fin de robar datos confidenciales, y “ladrones”, que utilizan datos o identidades robadas para obtener un ingreso monetario. Se calcula que, en 2018, más del 80% de la actividad dañina se debió a los ciberdelincuentes, cuyas principales formas de actuación son la propagación de código malware a través del correo electrónico –más del 60% del tráfico mundial de correo electrónico en 2018 contenía software dañino–, el “phishing” basado en técnicas de ingeniería social y la puesta en marcha de plataformas en las que se ofrecen servicios para llevar a cabo ciberdelitos.
Otros perfiles mencionados en el libro son los “ciberterroristas” y los “hacktivistas”, que, junto a la acción de otros estados, constituyen la principal amenaza para la ciberseguridad nacional. “La mayor parte de los gobiernos sufren ataques desarrollados en otros países, ya sean desplegados por los propios estados o por grupos subvencionados por tales estados”, afirman los autores de “Ciberseguridad”.
“Los principales objetivos de estos ataques son conseguir información política y estratégica y el sabotaje, es decir, la interrupción de la normal prestación de servicios esenciales y tratar de influir en la opinión pública de los países atacados”, añaden.
Por último, los especialistas del CSIC se ocupan del personal interno: “usuarios normales o con privilegios, “insiders”, que por negligencia o por maldad pueden resultar dañinos a una empresa u organización”. Se calcula que alrededor del 25% de los incidentes en entornos corporativos se debe a personal interno.
El riesgo del teletrabajo
“Es deseable que todos los teletrabajadores sigan unas buenas prácticas de ciberhigiene"
Los autores critican que las herramientas de teletrabajo, que desde marzo de 2020 han experimentado un crecimiento estimado del 84%, se han adoptado de modo improvisado. “Es deseable que todos los teletrabajadores sigan unas buenas prácticas de ciberhigiene, como evitar la instalación de software no autorizado por los responsables de ciberseguridad, no conectarse a redes wifi públicas o no responder correos sospechosos de ‘phishing’. Ahora bien, una buena política de seguridad no asume sin más que esas normas de ciberhigiene se van a cumplir, sino que establece mecanismos de control para salvaguardar la seguridad en caso de incumplimiento. Pues bien, en la crisis de la COVID-19 el teletrabajo se desplegó, en muchos casos, sin que los trabajadores tuvieran arraigada esa disciplina de ciberhigiene y sin que su empresa tuviera diseñada una política de seguridad adecuada”, afirman los científicos del CSIC.
Esta situación ha propiciado que “el virus biológico y el virus cibernético hayan progresado casi a la par”, ya que “los ‘malos’ -como diplomáticamente, y de forma habitual, uno se refiere a los atacantes- son conscientes de que el usuario medio es el eslabón más débil en la cadena de seguridad, por lo que sus ataques se dirigen a quienes le oponen menos resistencia”, agregan.
