Cuando hablamos de «ciber» muchos piensan en un concepto técnico que no les afecta, pero es conveniente que todos seamos conscientes de los riesgos a los que estamos expuestos cuando navegamos a través de internet.
En la actualidad convivimos con la digitalización, la cual ofrece muchas oportunidades, pero también representa un reto, como hemos podido observar en los últimos tiempos con los cambios que hemos conocido en la forma de trabajar, estudiar, comunicarnos, relacionarnos, etc., pudiendo acceder a la información cada vez desde más ubicaciones.
La ciberseguridad tiene como finalidad última la protección de la información digital, y pretende controlar y mitigar los riesgos a que está expuesta dicha información ante incidentes o amenazas informáticas, pudiendo afectar a cualquier tecnología conectada a internet, no sólo ordenadores y móviles, así como a personas y empresas, en este último caso el negocio y su reputación pueden resultar seriamente dañados por el robo de información sensible.
Las organizaciones criminales tradicionales, desde hace ya un tiempo, están adaptando sus capacidades a las nuevas tecnologías, para ello, subcontratan servicios a otros grupos especializados, lo que se denomina «Crime As A Service», consiguiendo así realizar todo tipo de delitos digitales.
El «trabajo» de los ciberdelincuentes consiste en dejar en evidencia las medidas de seguridad que se van adoptando, en la mayoría de los casos, para obtener un beneficio económico, y las empresas y administraciones, dentro de sus posibilidades, intentan evitarlo y ponérselo cada vez más difícil con la implantación de nuevas medidas de seguridad.
La Unión Europea elaboró la Directiva conocida como PSD2 (LA LEY 20018/2015), que pretende impulsar la transparencia, competencia, eficiencia e innovación, de los servicios de pago, poniendo de manifiesto una cuestión relevante como es el refuerzo de las medidas de seguridad para realizar transacciones exigiendo la doble autenticación o autenticación reforzada.
Estos sistemas de autenticación deben tener las siguientes características: fiabilidad, probabilidad de error mínima; viabilidad, económicamente asequible; seguridad, resistente a posibles ciberataques; y usabilidad, fácil de usar.
Para proteger los servicios online que tenemos a nuestra disposición debemos usar los sistemas o métodos de doble autenticación, que consisten en añadir una capa más de seguridad a nuestro proceso de acceso, es decir, además de un nombre de usuario y contraseña, será necesario verificar nuestra identidad mediante otro factor, los más habituales son los siguientes: el envío de un código de seguridad mediante SMS a nuestro teléfono, y que por lo tanto sólo conocemos nosotros; y la solicitud de un rasgo biométrico, único de cada ser humano (voz, huella, iris, retina, etc.).
Con ello, supuestamente, conseguiremos dificultar el acceso a nuestros servicios online a terceras personas que lo intenten, ya que, aunque consigan nuestra contraseña, necesitarán también introducir un código de seguridad o un rasgo biométrico, garantizando así la identificación de la persona que va a realizar la operación a través de internet. No obstante, los amantes de lo ajeno, una vez más han conseguido burlar algunas de las trabas que se encuentran por el camino.
En el caso del código de seguridad, mediante la técnica conocida como «SIM swapping», los ciberdelincuentes, una vez han conseguido toda la información personal y financiera, solicitan un duplicado de la tarjeta SIM del número de teléfono de la víctima, posteriormente realizan cualquier operación, solicitud de créditos, transferencias, pagos con tarjetas, etc., para ello la entidad financiera envía un código de un solo uso, mediante SMS, al número de teléfono de la víctima, que ahora se encuentra en poder del ciberdelincuente, y al introducir el código enviado por la entidad, se consuma la operación.
Si alguien ha duplicado nuestra tarjeta SIM, la antigua deja de funcionar, por lo que sospecharemos cuando al utilizar el teléfono móvil la operadora informe que, «actualmente no dispone de este servicio» o »tiene el servicio temporalmente restringido», entonces es posible que estemos siendo víctimas de fraude.
Evitar este tipo de prácticas fraudulentas debería ser tan sencillo como, que los operadores enviasen al titular de la línea telefónica un SMS donde se les advierta que se ha realizado una solicitud de duplicado de su tarjeta SIM, y el titular, acepte o deniegue dicha solicitud.
En el caso de la biometría, concretamente por voz, ya se han detectado casos en los que suplantan la voz de una persona mediante algoritmos de inteligencia artificial, por lo que la voz, como factor biométrico, también está en evidencia, sirva como ejemplo, y aunque suene paradójico, al CEO de una compañía de seguridad de ámbito internacional le han robado su identidad digital suplantándole su voz, consiguiendo que un banco concediera un préstamo a un ciberdelincuente.
Siendo conscientes de esta realidad, urge fomentar la cultura de la ciberseguridad mediante la concienciación a todos los usuarios de internet de la importancia de la prevención, mediante una navegación segura, ya que la mayoría de los ciberataques que consiguen su objetivo es como consecuencia de errores humanos, y aunque no existe un método infalible, es posible minimizar el riesgo, siguiendo algunos consejos que veremos a continuación.
Uno de los objetivos más preciados de los ciberdelincuentes son nuestros datos, y entre ellos, las contraseñas. Cuando las consiguen tienen las llaves que le dan acceso a los diferentes servicios que tengamos contratados, como la banca online, o realizar compras en tiendas online si tenemos asociado un medio de pago, como puede ser una tarjeta de débito o crédito, y además, otro asunto no menos importante, nuestra privacidad puede quedar comprometida.
Para que esto no ocurra, es necesario disponer de contraseñas robustas, al menos, de 10 caracteres, que incluyan, mayúsculas, minúsculas, números y caracteres especiales, guardadas en un lugar seguro o usando un gestor de contraseñas.
Además, no se deben compartir las contraseñas con nadie, ni usar la misma para diferentes servicios, y a pesar de que sean robustas, es recomendable cambiarlas periódicamente, cada tres o cuatro meses, ya que, con el paso del tiempo pueden verse comprometidas.
Los ciberdelincuentes utilizan diferentes técnicas para conseguir nuestros datos, una de las más comunes son los ataques tipo phishing, en todas sus modalidades, a través de correo electrónico, SMS, llamada telefónica, código QR, y también a través de mensajería instantánea (whatsapp, line, etc.), pretenden con ello captar nuestra atención con alguna excusa o urgencia para intentar obtener nuestra información privada. También circulan en la red bulos o noticias falsas que a menudo generan inquietud en aquellas personas que las reciben, y que suelen ser utilizadas para engañarnos y que accedamos a un sitio web que está siendo utilizado para propagar software malicioso (malware), recopilar datos personales, contraseñas, etc.
Para evitar ser víctima de phishing debemos sospechar ante mensajes que aparentan ser de la administración, entidades financieras o servicios conocidos, donde nos indican alguno de los siguientes textos o similares: problemas de carácter técnico de la entidad; problemas de seguridad en la cuenta del usuario; recomendaciones de seguridad para evitar fraudes; cambios en la política de seguridad de la entidad; promoción de nuevos productos; vales descuento, premios o regalos; inminente cese o desactivación del servicio.
Igualmente, debemos sospechar, si hay errores gramaticales en el texto; urgentemente debemos tomar una decisión, recibimos comunicaciones anónimas dirigidas a «Estimado cliente», «Notificación a usuario» o «Querido amigo».
Cuando recibamos una comunicación de la administración, entidad financiara o servicio conocido, desde un buzón de correo electrónico tipo @gmail.com o @hotmail.com, es otro motivo que nos puede hacer sospechar, ya que cualquier entidad de este tipo se comunicará con nosotros a través de sus medios de comunicación oficiales.
¿Qué debemos hacer si detectamos un caso de phishing?
- • No acceder nunca a los enlaces facilitados en el mensaje ni descargar ningún documento adjunto.
- • No contestar a este tipo de correos.
- • No facilitar datos personales a través de llamadas telefónicas.
- • No utilizar redes wifi-públicas para difundir información personal.
Debemos asegurarnos de que nos encontramos en el sitio web que queremos estar, para ello, es necesario que nos fijemos en la URL, ésta deberá empezar por https y mostrará un candado en la barra de direcciones. Si hacemos clic sobre dicho candado, sobre «La conexión es segura» y sobre «El certificado es válido», la URL deberá estar siempre bien escrita.
Además, es necesario tener en cuenta otras cuestiones, sobre todo si tenemos que facilitar datos sensibles, como es proteger adecuadamente nuestros dispositivos instalando un antivirus y mantenerlo actualizado para que detecte las últimas amenazas que circulan por la red, ya que la acción de algún virus, capaz de cifrar o borrar la información, puede ocasionarnos un grave perjuicio, pero también es importante realizar copias de seguridad, podríamos perder la información de nuestros dispositivos por diversos motivos, como por ejemplo, por un borrado accidental, pérdida, robo, o porque el dispositivo deje de funcionar correctamente.
Según el Instituto Nacional de Estadística (INE), la ciberseguridad se ha convertido en una gran preocupación para el 93,9% de la población que utiliza internet entre 16 y 74 años, lo que significa un fiel reflejo de la aceleración en el uso de las nuevas tecnologías en los últimos años. Por otra parte, el informe del Ministerio del Interior sobre criminalidad en España hace referencia a que más del 15% de los delitos se han cometido a través de internet, y según el Sistema Estadístico de Criminalidad, se registraron 305.477 delitos informáticos, lo que supone un 6,1% más con respecto a los datos registrados en el año anterior.
El Instituto Nacional de Ciberseguridad (INCIBE), gestionó 118.820 incidentes en 2022, un 8,8% más que en el año anterior, y 1 de cada 4 estaban relacionados con el fraude online.
Para finalizar, en materia de ciberseguridad, los riesgos evolucionan de forma frenética, y en muchas ocasiones el ser humano es incapaz de responder a tiempo a las nuevas amenazas, por ello, es necesario recurrir a la inteligencia artificial, ya que esta tecnología tiene capacidad para operar a gran escala, permitiendo identificar riesgos mediante el aprendizaje automático, especializado en identificar patrones de conducta. Por otra parte, el Big Data puede potenciar las posibilidades de la inteligencia artificial, debido a su capacidad de almacenamiento de grandes cantidades información y procesarla en breve espacio de tiempo.
Es aconsejable utilizar los canales de comunicación, formación y concienciación que pone a nuestra disposición https://www.incibe.es/, teléfono, el 017, de ayuda a la ciberseguridad y https://www.ccn-cert.cni.es/.
| PARA SABER MÁS: WEBINAR GRATUITO |
Javier Muñoz (Director de Operaciones y Tecnología de Sabadell Consumer Finance S.A.U), Diego Alejandro (Inspector Jefe. Jefe de Sección de fraude en el comercio electrónico, de la Unidad Central de Ciberdelincuencia, de la Policía Nacional), Víctor Calleja (Inspector. Jefe de Grupo de fraude en el uso de las telecomunicaciones, de la Unidad Central de Ciberdelincuencia, de la Policía Nacional), Gustavo Lozano (CISO de ING) e Ignacio Pla (Secretario General de ASNEF), participarán en un encuentro digital que sobre esta materia se celebrará el próximo 25 de abril de 17,00 a 18,30 h. bajo el título: «Ciberfraudes». La asistencia es gratuita previa inscripción en este enlace. Este encuentro digital se enmarca dentro del «Ciclo de encuentros digitales sobre transparencia y educación financiera», patrocinado por ASNEF con la colaboración de LA LEY. |