Los ciberdelincuentes están aprovechando la crisis de COVID-19 para intentar robarnos datos sensibles o personales. Este tiempo de confinamiento facilita que pasemos más tiempo conectados a la red y nos expone más de lo habitual a sus riesgos.

Además, nuestro estado emocional (angustiados, distraídos) y el hecho que los delincuentes conozcan nuestros intereses (buscamos información relacionada con la pandemia) nos hace vulnerables a ataques de ingeniería social. Estos utilizan el engaño o la manipulación psicológica para que las víctimas den de forma voluntaria información personal y confidencial, muchas veces financiera, a sistemas no autorizados.

COVID-19, el momento para actuar

El Centro Europeo de Cibercrimen (EC3) de Europol recoge, en una de sus recientes notificaciones de inteligencia sobre el mundo digital (Cyber Bits), cómo el cibercrimen está aprovechando la crisis para intensificar sus ataques.

Las campañas diseñadas para la crisis del coronavirus incluyen la suplantación de identidad de organizaciones privadas u oficiales (phishing), el malware de todo tipo (por ejemplo, virus y troyanos), amenazas a los dispositivos móviles, amenazas persistentes avanzadas (Advanced Persistent Threats, APT), mulas de dinero, ataques al teletrabajo (por ejemplo, a través VPN falsas), fraudes, extorsiones y ataques a la protección de datos y a la privacidad, entre otras.

A continuación exponemos algunos ejemplos de ataques diseñados específicamente para la crisis de la COVID-19:

  • La aplicación para móviles Covid 19 Tracker. Distribuida a través del dominio malicioso coronavirusapp.site, supuestamente hace un seguimiento de la expansión del coronavirus. Bloquea el teléfono y lo deja totalmente inservible hasta que el usuario paga un rescate para desbloquearlo (ataque de ransomware).
  • Una estafa de phishing a través de WhatsApp que difunde una subscripción gratuita en Netflix. Para poder acceder a la subscripción, ofrecida con el pretexto de la COVID-19, los usuarios deben rellenar un formulario en una web fraudulenta con sus datos personales y financieros.
  • Otra estafa de phishing a través de un correo electrónico (supuestamente) de la OMS. Nos incita a descargar un keylogger, una aplicación que puede registrar todas las teclas pulsadas por la víctima y dar información de contraseñas y otros datos sensibles a los atacantes.

Muchas empresas de ciberseguridad han detectado un aumento considerable de los dominios registrados relacionados con el coronavius a nivel mundial. Algunos se utilizan para campañas de phishing y de descarga de malware (mas información en Domaintools.com).

Las campañas maliciosas funcionan por estadística. Sus autores saben que hay un porcentaje de usuarios, aunque sea pequeño, que caerá en la trampa. Los datos personales tienen un valor elevado en el mercado negro y tanto los usuarios a título individual como las empresas debemos tomar precauciones para que los ataques informáticos que se aprovechan de la inestabilidad de este periodo no nos afecten.

A continuación, proponemos diez consejos para afrontar la situación actual en lo referente a la seguridad nuestros dispositivos y a la información que contienen.

1. Informarnos sobre las medidas de protección

A pesar de que recibimos información sobre los riesgos de conectarse a internet, no tenemos suficientes conocimientos prácticos sobre ciberseguridad. Además, trabajar con datos sensibles de una empresa en un ordenador doméstico entraña más riesgo que el uso lúdico de un móvil.

El confinamiento es una oportunidad única para aprender buenas prácticas de navegación segura. Una de las mejores maneras de evitar riesgos es obtener información de calidad. Además de preguntar a expertos de nuestro entorno, podemos consultar portales de organismos oficiales que facilitan información detallada en materia de ciberseguridad, como la Oficina de Seguridad del Internauta (OSI) y el Instituto Nacional de Ciberseguridad (INCIBE).

En cualquier caso, hace falta más formación práctica para que los usuarios domésticos puedan saber qué opciones tienen para protegerse ante los riesgos. Es una buena idea invertir algo de nuestro tiempo en obtenerla.

2. Configurar contraseñas seguras

Tenemos que establecer contraseñas seguras y diferentes para cada servicio. Esto no sirve solo para acceder al correo o a aplicaciones sensibles como las bancarias, también se aplica a las claves que se fijan por defecto, por ejemplo, en las conexiones wifi domésticas.

A pesar de que los consejos en este sentido son los habituales, hay que tener en cuenta que en la situación actual podemos ser más vulnerables.

3. Conocer los ciberataques más comunes

Una de las amenazas más extendidas es el phishing, que pretende engañar a los usuarios y pedirles datos sensibles, como pueden ser los de carácter personal, suplantando a una entidad pública o privada de confianza.

El objetivo de los impulsores de estos ataques puede ser desde vender bases de datos con direcciones de correo electrónico hasta conseguir datos bancarios, si consiguen que los usuarios las revelen.

Otra práctica común es el ransomware. Los usuarios reciben un correo malicioso y, al pinchar en un enlace, abren la puerta a que se descargue un programa que inutiliza el ordenador, impidiendo a sus propietarios acceder a la información. El objetivo es pedir un rescate económico para desbloquear el equipo.

4. No proporcionar datos por correo electrónico

El correo electrónico es un canal común para campañas publicitarias masivas, pero no es la vía adecuada para solicitar datos personales. Las entidades nunca nos pedirán datos a través de un correo con un sencillo “responda aquí”. Las informaciones sensibles no se envían nunca de este modo.

5. Vigilar los correos con remitentes desconocidos

No hay que confiar en los correos cuya procedencia no esté clara. Una de las mejores maneras de asegurarse de ello es revisar los dominios de las direcciones de correo y comprobar si son los habituales como, por ejemplo, .es en el caso de un organismo del Estado (en lugar de .com o .org).

Hay direcciones maliciosas que contienen unos códigos largos o extraños que no se corresponden con los formatos habituales. A veces, podemos no detectar nada sospechoso si solo revisamos los nombres de los remitentes. Hasta que comprobamos cuál es la dirección real que nos contacta, que a menudo tiene esos formatos extraños que deberían hacer saltar nuestras alarmas.

6. Los filtros antispam y antiphishing pueden fallar

A pesar de que los filtros antispam y antiphishing de nuestros servidores de correo funcionan razonablemente bien, no son infalibles y pueden dejar pasar algún mensaje malicioso. Si de cada 100 000 usuarios que reciben un correo malicioso, un 1 % cae en la trampa, ya tendremos 1 000 afectados.

Este tipo de ataques se organizan pensando en llegar a un elevado número de usuarios. Ese pequeño porcentaje multiplicado por un número suficientemente grande se traducirá en decenas, centenares o quizá miles de registros de datos robados.

7. Atención a las apps de procedencia dudosa

Si nos bajamos una aplicación fuera de un market oficial (como Google Play o el Apple Store) nos exponemos a un ataque malicioso. Si no estamos seguros, no deberíamos instalar ninguna app que no sea de un escaparate oficial.

Es fácil encontrar contenidos o webs con datos interesantes, como pueden ser la evolución del coronavirus en tiempo real. A veces, esas páginas nos indican que existe una aplicación que podemos descargar para obtener más información. Si la instalamos, damos permisos adicionales para acciones maliciosas que pueden afectar a nuestros dispositivos.

8. Cuidado con los datos en el teletrabajo

Si teletrabajamos, debemos tratar con cuidado los datos sensibles de la empresa. Hay organizaciones que no están habituadas a trabajar de forma remota y que no han tenido suficiente margen para implementar un plan de desarrollo del teletrabajo. Los atacantes están aprovechando esta falta de previsión para introducir más malware en la red.

Adaptarse rápidamente para tomar las medidas necesarias para evitar las vulnerabilidades no es fácil. Uno de los principales riesgos para las empresas son los datos que manejan sus empleados. Durante estos días, los trabajadores acceden a informaciones sensibles con sus ordenadores particulares. En muchos casos, estos equipos no se ajustan a los estándares de ciberseguridad fijados por las organizaciones, que sí cumplen los dispositivos de sus oficinas.

9. Evitar hacer copias innecesarias de datos sensibles

Tenemos que ser cuidadosos con los datos de la actividad profesional y guardarlos solo de manera temporal y excepcional en los dispositivos de nuestro domicilio.

Debemos evitar realizar copias de datos en dispositivos que están fuera de la red de nuestra organización o empresa. No contamos con las medidas de seguridad y los protocolos que exigen las normativas que regulan su uso, como los requerimientos del Reglamento General de Protección de Datos.

Un ejemplo son los datos personales y bancarios con los que trabajan los departamentos de recursos humanos. Tal vez no nos quede otro remedio que guardarlos temporalmente en el ordenador para realizar los pagos de las nóminas, pero debemos suprimirlos inmediatamente después.

10. Detengamos la difusión de noticias falsas

Difundiendo fake news ponemos en peligro nuestra ciberseguridad y la del resto de usuarios. Amplificar el ruido con contenido no veraz relacionado con cuestiones de interés general como la COVID-19, no solo perjudica la sociedad con desinformación, sino que puede propagar acciones maliciosas ocultas.

Antes de difundir según qué contenidos sensibles tenemos que estar alerta, consultar fuentes fiables y no amplificar lo que no esté contrastado. Webs con nombres demasiado evidentes que incluyen el término “coronavirus” en su dirección, o algunas campañas de apoyo colectivo que están aflorando, pueden ser foco de ciberataques.

La gran norma es desconfiar de todo aquello que no conocemos ni hemos podido contrastar su autenticidad.

Esperamos que estos consejos puedan servir de ayuda para evitar que esta grave crisis sanitaria venga, además, acompañada de un crisis de ciberseguridad que afecte a nuestras infraestructuras tecnológicas y su información.

Artículo de: https://theconversation.com/diez-consejos-para-protegernos-ante-la-epidemia-de-ciberdelincuencia-134700