La evolución de las tecnologías de la información nos ha permitido automatizar muchas de las actividades de nuestro día a día, haciéndolas más sencillas y rápidas. Nuestra información es un recurso importante para las personas y es fundamental para las empresas. Conocer las principales ciberamenazas que la pueden poner en peligro se hace vital para poder identificarlas y, en consecuencia, evitarlas a tiempo. En este artículo comentamos tres de ellas muy habituales, tanto en el entorno empresarial como en el personal, y al final daremos 10 consejos sencillos para prevenirlos.
1. FUGAS DE INFORMACIÓN
Una fuga de información se produce cuando se pierde la confidencialidad de nuestra información. El problema se presenta cuando debido a un incidente de seguridad, dicha información se hace accesible a terceras personas no autorizadas, ya sea de forma involuntaria o de forma deliberada.
Para prevenir las fugas de información se deben aplicar un conjunto de estas medidas que reducirán la posibilidad de sufrir un incidente que afecte a su confidencialidad:
- Medidas organizativas.Este tipo de medidas de seguridad afectan a la metodología de trabajo y organización con la que cuenta la empresa. Las más destacadas son:
- Definir una política de seguridad y procedimientos para todo el ciclo de vida de los datos.
- Establecer un sistema de clasificación de la información para ligarlo a roles y niveles de acceso.
- Llevar a cabo acciones de formación y concienciación en ciberseguridad.
- Implantar un sistema de gestión de seguridad de la información.
- Medidas técnicas.Estas medidas tendrán como objetivo limitar los accesos no autorizados a la información, tanto por ciberdelincuentes como por los propios empleados, mediante una serie de herramientas de software:
- Implantar un sistema de control de acceso e identidad.
- Soluciones anti-malware y anti-fraude, seguridad perimetral y protección de las telecomunicaciones.
- Control de contenidos, monitorización de tráfico y copias de seguridad.
- Control de acceso a los recursos, actualizaciones de seguridad y parches.
- Implantar herramientas DLP (Data Loss Prevention).
- Medidas legales. Las medidas legales servirán a la empresa para seguir la legislación vigente y poder tomar medidas contra empleados que filtren información deliberadamente:
- Establecer acuerdos de confidencialidad.
- Solicitud de aceptación de la política de seguridad por parte de los empleados.
- Medidas relativas a la adecuación y cumplimiento de la legislación aplicable (LOPDGDD, LSSI, etc.).
2. ATAQUES DE PHISHING
Los ataques de tipo phishing son el principal método utilizado por los ciberdelincuentes para robar información confidencial como nombres de usuario y contraseñas o datos bancarios, tanto a particulares como a empresas.
Es un tipo de fraude cometido generalmente a través del correo electrónico, aunque pueden utilizar otros medios, como mensajes SMS (smishing), redes sociales, aplicaciones de mensajería instantánea o llamadas telefónicas (vishing). Para lograr engañar a la víctima, los ciberdelincuentes suelen suplantar la identidad de empresas y organizaciones reconocidas como entidades bancarias, empresas del sector de la energía, de logística, etc.
Como técnica principal, los ciberdelincuentes suelen falsear la dirección del remitente para que simule proceder de la entidad legítima cuando en realidad el mensaje procede de otra fuente. A esta técnica se la denomina email spoofing o suplantación de la dirección correo electrónico.
En el cuerpo del mensaje contienen un enlace que lleva a una página web fraudulenta que tiene la misma estética que la página web legítima a la que intenta suplantar. En dicha web se solicita la información confidencial que se quiere sustraer.
Una vez que la víctima del ataque ha facilitado toda la información que los ciberdelincuentes solicitan, el usuario suele se redirigido a la página web legítima de la empresa suplantada con el fin de que el fraude pase el mayor tiempo desapercibido antes de que la víctima denuncie el hecho.
¿Cómo identificar un ataque de phishing y prevenirlo?:
- Remitente. Los correos de tipo phishing en ocasiones contienen remitentes que no coinciden con la organización a la que supuestamente representan. En otras ocasiones los ciberdelincuentes utilizan la técnica email spoofing, que consiste en falsear el remitente haciendo que parezca proceder de la entidad legitima cuando en realidad no es así. Para comprobar si el remitente realmente es el que figura en el correo se deben analizar las cabeceras de este.
- Necesidad de llevar a cabo la petición de manera urgente. Los ciberdelincuentes suelen alertar a las víctimas sobre situaciones negativasa las que tendrán que hacer frente a no ser que sigan las instrucciones que facilitan, las cuales suelen ser acceder a una página web fraudulenta e introducir la información que solicitan, visualizar un archivo (malicioso), etc. Algunos de los ganchos más utilizados son la cancelación del servicio, multas por no acceder en tiempo y forma, etc. Durante la pandemia sufrida por el COVID-19 los ciberdelincuentes se adaptaron para utilizar señuelos basados en esta temática como los ERTE, ayudas gubernamentales, remedios milagrosos, posibles sanciones, e incluso multas de tráfico cuando comenzaba la movilidad entre comunidades.
- Enlaces falseados. Los enlaces ofuscados son una parte fundamental de este tipo de fraude. En la mayoría de las ocasiones es la vía esencial que utilizan los ciberdelincuentes para robar la información confidencial. Los enlaces suelen aparentar que corresponden a la web legítima o sencillamente contienen un texto haciendo referencia a que sea seleccionado o “clicado”. Para comprobar a dónde apunta realmente el enlace, se puede situar el ratón encima y comprobar el cuadro de dialogo que figura en la parte inferior de la pantalla con la verdadera dirección.
También se pueden utilizar herramientas online, como:
- Informe de transparencia de Google
- Free website security check & malware scanner
- Virustotal
- URL haus
En otras ocasiones los enlaces pueden estar acortados, no siendo posible visualizar su destino si no se utilizan herramientas específicas como Unshorten.It!. Se ha de tener especial cuidado al acceder a enlaces en correos electrónicos, siendo preferible acceder introduciendo la dirección web directamente en el navegador o utilizando la aplicación oficial de la entidad. Las entidades legítimas, como las financieras, nunca solicitarán a los clientes credenciales de acceso en comunicaciones por correo electrónico.
- Comunicaciones impersonales. Recibir un mensaje procedente de una supuesta organización de la que se es cliente y que no contenga datos personales como nombre y apellidos, es un síntoma de fraude.
- Errores ortográficos y gramaticales. Una auténtica comunicación de cualquier entidad no contendrá errores ortográficos o gramaticales, ya que la comunicación con sus clientes es un aspecto muy cuidado.
- Firmas y estética del correo. La estética y la firma del correo electrónico es otro factor a considerar.
En caso de no haber detectado el ataque en la comunicación, es posible identificarlo por la web fraudulenta a la que redirige. Para ello lo principal es analizar el nombre de dominio web y su certificado digital, ya que estos son datos que no pueden ser falsificados fácilmente.
3. SEXTORSIÓN
La sextorsión es un tipo de estafa en la que los ciberdelincuentes informan a la víctima por correo electrónico de que ha sido grabada en situaciones comprometedoras que serán difundidas entre sus contactos de correo electrónico y redes sociales a no ser que realice un pago a modo de rescate. Para dotar de más veracidad a la comunicación, el correo suele simular proceder de la dirección de la víctima(email spoofing) cuando en realidad el correo no procede de ahí. Para dotar de más veracidad al fraude, los ciberdelincuentes pueden indicar en la comunicación la contraseña de algún servicio que se ha filtrado previamente y cuyo descifrado ha sido posible.
Los ataques de sextorsión son fácilmente identificables ya que todos cuentan con características en común:
- Los correos simulan proceder de la cuenta de la víctima,lo que en realidad no es así. El correo procede de otra cuenta de correo, pero la dirección del remitente está falsificada. También pueden indicar la contraseña de algún servicio asociado a la cuenta de la víctima, que se ha filtrado previamente y ha sido posible su descifrado.
- Asunto alarmante que informa sobre que la cuenta o dispositivo ha sido comprometido. Como técnica de ingeniería social los ciberdelincuentes informan de que han comprometido la cuenta o el dispositivo, cuando en realidad no es así.
- En el correo se informa de que el dispositivo está bajo el control del ciberdelincuente.
DIEZ CONSEJOS ÚTILES
Para terminar, y a modo de resumen, para reducir el riesgo de sufrir un incidente de seguridad se debe tener en cuenta los siguientes consejos:
- Ante correos electrónicos de remitentes desconocidos se deben extremar las precauciones, ya que puede tratarse de una comunicación fraudulenta.
- Si un correo presenta enlaces externos a páginas web o documentos adjuntos es recomendable analizarlos con herramientas en línea o con el antivirus del dispositivo.
- Todos los sistemas operativos y las aplicaciones estarán siempre actualizadas a la última versión disponible.
- Todos los dispositivos contarán con aplicaciones antivirus instaladas y actualizadas.
- Siempre se utilizarán contraseñas robustas. Además, se evitará reutilizar contraseñas.
- Se realizarán copias de seguridad periódicas de la información y se comprobará que es posible su recuperación.
- El correo electrónico no es el único canal de comunicación que utilizan los ciberdelincuentes. Se debe tener también especial precaución con llamadas telefónicas y comunicaciones de aplicaciones de mensajería instantánea, mensajes SMS o redes sociales.
- Ante solicitudes que requieran la modificación de datos bancarios se debe verificar dicha solicitud por un canal de comunicación alternativo y confiable
- Los correos de extorsión a causa de un supuesto vídeo privado son un fraude.
- Si en un incidente de seguridad se ven afectados datos de carácter personal se deberá poner en conocimiento de la Agencia Española de Protección de Datos (AEPD).
Rafael Miranda
Gerente de Digitalización y Ciberseguridad en Prysma