Diez consejos para que los ciberdelincuentes no te 'secuestren'

Es tiempo de confinamiento necesario y obligatorio. Eso supone más horas conectados a la red, en nuestros ordenadores, smartphones o tabletas, exponiéndonos más de lo habitual a los riesgos que ello conlleva.

En los últimos días, con el coronavirus[contexto id=»460724″] en el centro de la información y de las preocupaciones de la mayoría de la población, los ciberdelincuentes han visto en esta crisis una oportunidad para atacar a diestro y siniestro, sin escrúpulos, un cebo para sus fechorías, y lo están explotando.

Correos electrónicos (phishing) para secuestrar equipos informáticos o Whatsapp para robar datos personales y bancarios. Lo último ha sido mensajes a través de Whatsapp suplantando la identidad de Netflix en el que a través de un enlace donde inscribirte te ofrecían el servicio gratuito para robar así datos personales y bancarios.

Y, tristemente, en los últimas semanas, han aumentado los ciberataques a hospitales. Mediante correo electrónico y disfrazado de “información sobre la Covid-19”, pretendía “romper” el sistema informático de los centros médicos en plena crisis sanitaria. Se llama Netwalker y es un ransomware [secuestrador de datos].

Pero, ¿por qué los hospitales son un objetivo tan codiciado para los ciberdelincuentes? La respuesta nos la da el Centro Criptológico Nacional: «La explicación es muy sencilla: la información médica es demasiado valiosa. Ahí está el dinero«, explican en su web. «Para que cualquiera pueda hacerse una idea, mientras que una tarjeta de crédito tendría un valor de pocos euros en el mercado negro, un historial clínico puede llegar a costar en torno a los 80 euros. Hay mucha diferencia. El coste de esa información es alto por su contenido: no solo se obtienen datos sanitarios sino también información personal detallada: números de la seguridad social, direcciones, cuentas bancarias…, que pueden utilizarse para la suplantación de identidad». Y es que, según el Centro Criptológico Nacional, a los ciberdelincuentes no les faltan compradores, sacando así a estos datos un buen provecho económico en el mercado negro de Internet. 

Sin embargo, las crisis son situaciones también para aprender. David Megías y Helena Rifà, investigadores expertos en ciberseguridad del Internet Interdisciplinary Institute (IN3) de la Universitat Oberta de Catalunya (UOC), nos facilitan consejos prácticos para evitar ser víctimas de actividades maliciosas en internet en plena crisis del coronavirus.

1. Hay que informarse sobre las medidas de protección que pueden tomarse en función de cada caso. Según David Megías, director del IN3, aunque la población recibe «información sobre los riesgos y las vulnerabilidades de conectarse a internet, no cuenta con suficientes conocimientos sobre ciberseguridad». Hay que tener en cuenta que no es similar el grado de riesgo de hacer un uso lúdico de un teléfono móvil al de trabajar con datos sensibles de una empresa en un ordenador que tenemos en casa, especialmente si a raíz de la crisis debemos teletrabajar de forma intensiva.

2. Debemos tener contraseñas seguras. ·Debemos contar con contraseñas seguras, no solo para acceder a nuestros correos o aplicaciones sensibles como las bancarias, sino también para cuando las claves se establecen por defecto, por ejemplo, en las conexiones wifi, passwords que debemos evitar mantener», puntualiza Helena Rifà, directora del máster interuniversitario de Seguridad de las Tecnologías de la Información y las Comunicaciones.

3. Conviene familiarizarse con algunas de las prácticas maliciosas (malware) más comunes. Es el caso del phishing, que es la suplantación de la identidad legítima de organismos o empresas para engañar a los usuarios y pedirles datos sensibles, como los de carácter personal. El objetivo de sus impulsores puede ser desde «vender bases de datos con direcciones de correo electrónico hasta incluso conseguir datos bancarios, si son capaces de que los usuarios las revelen», apunta Megías. Otra práctica peligrosa común es el llamado ransomware o software de secuestro: los usuarios reciben un mensaje malicioso y por simplemente hacer clic en un enlace abren la puerta a la descarga de un programa que inutiliza el ordenador, lo que impide a los propietarios acceder a su información. El objetivo de sus responsables es pedir un rescate económico para solucionarlo.

4. Los organismos oficiales no piden datos a los usuarios por correo electrónico. Aparte de que el correo electrónico solo suele ser un canal común para campañas publicitarias masivas, «no es la vía por la que nos solicitan nuestros datos personales» matiza el director del IN3. «Las entidades nunca nos pedirán datos por medio de un mensaje electrónico con un sencillo responder aquí, ya que la información sensible no se envía nunca de esta forma», refuerza Helena Rifà.

5. Debemos sospechar de los mensajes electrónicos cuyos remitentes no conozcamos. «Además, no debemos confiar en los mensajes que tengan un remitente del que no tenemos la seguridad de que es quien afirma ser», añade Megías. Según el investigador, una de las mejores maneras de asegurarse de ello es revisar si los dominios de las direcciones de correo son los habituales, tales como .es en el caso de un organismo del Estado, en lugar de .com o .org. «Incluso hay direcciones maliciosas que tienen unos códigos numéricos largos en sus usuarios. A veces, si revisamos los nombres que acompañan a las direcciones sospechosas no nos parecen peligrosas hasta que comprobamos cómo es el email que nos contacta, con un formato alfanumérico muy extraño», puntualiza el experto.

6. Hay que ser conscientes de que, aunque los filtros anti-SPAM o anti-phishing de nuestros servidores de correo funcionan bastante bien, a veces pueden fallar y no detectar algún mensaje malicioso. «Si de cada 100.000 usuarios que reciben un mensaje malicioso, solo un 1% cae en la trampa, ya tenemos 1.000 usuarios afectados. Debemos ser conscientes de que este tipo de ataques se organizan pensando en un elevado número de usuarios», apunta Megías.

7. Las aplicaciones de los markets oficiales, como Google Play o Apple Store, han sido revisadas y en principio son seguras. En cambio, «si nos descargamos una aplicación fuera de un market oficial, nos exponemos a un ataque malicioso para nuestro móvil o tableta. Si no estamos seguros, no deberíamos instalar ninguna aplicación que no sea de un escaparate oficial», confirma Megías.

8. Si teletrabajamos, debemos tratar con cuidado los datos sensibles de nuestras empresas. Los investigadores de la UOC ponen énfasis en las organizaciones que no acostumbran a trabajar de forma remota y que en pocos días no han tenido suficiente margen para implantar un plan de desarrollo del e-trabajo entre su equipo, teniendo en cuenta cómo reducir al mínimo posibles riesgos como los ciberataques.

9. Al trabajar desde casa, tenemos que evitar hacer copias innecesarias de datos sensibles. Según los expertos de la UOC, tenemos que ser muy cuidadosos con los datos de la actividad profesional y guardarlos de forma temporal y excepcional en los dispositivos de nuestro domicilio. Así, tenemos que evitar hacer copias de datos en dispositivos que están fuera de la red de nuestra organización o empresa, porque no disponemos de las medidas de seguridad y los protocolos que exigen las normativas que regulan su uso, como los requerimientos del Reglamento general de protección de datos. Los investigadores ponen como ejemplo sensible los datos personales y bancarios con los que trabajan los departamentos de recursos humanos de las empresas.

10. Difundiendo fake news ponemos en peligro nuestra ciberseguridad y la del resto de usuarios. Aumentar el ruido con contenido no veraz relacionado con cuestiones de interés general como la COVID-19 no solo perjudica a la sociedad con desinformación, sino que también puede propagar acciones maliciosas que contengan estas informaciones. Por ello, según los expertos de la UOC, la gran norma que hay que seguir siempre es «desconfiar de lo que no conocemos y de aquello de lo que no hemos podido comprobar la autenticidad».