sábado, 30 de marzo de 2024

                                                     

                                    LA CIBERSEGURIDAD



Episodio 3, del Podcast La Sociedad Sentada.
Disponible en IVOOX, SPREAKER, SPOTIFY y GOOGLE PODCAST.



Un día, hace unas semanas, mientras trabajaba en el montaje del primer episodio del Podcast, me sucedió algo que me desconcertó por completo, y estuve más de una hora dándole vueltas y vueltas sin saber qué hacer.  

Ocurrió mientras seguía cuidadosamente las indicaciones de una página web que necesitaba utilizar para descargar una aplicación que añade nuevas funcionalidades a mi programa de edición de sonido.

Seguí los pasos que me iba señalando el programa para proceder a la descarga. Así que cuando una nueva ventana saltó a mi pantalla y vi que tenía un botón para ACEPTAR, toqué con el dedo encima de él.  

No había leído ni una sola palabra más antes de aceptar, así que no esperaba encontrarme frente a un más que posible intención de engaño. Pero el siguiente pantallazo hizo saltar mis alarmas. Era evidente que se trataba de una ventana intrusa, y enseguida me di cuenta de que había cometido un error.

Lo primero que hice a continuación fue eliminar de la pantalla la ventana intrusa y seguir con el procedimiento de la descarga que deseaba.

Bueno, intenté seguir. Pero fue imposible, eliminaba esa maldita ventana, pero cada 5 segundos volvía a aparecer. El mensaje se renovaba reiteradamente. Leído todo lo que contenía la ventana, era evidente que se trataba de una trampa. En un lenguaje burdo y mal traducido al español, me avisaba de que tenía un virus en mi dispositivo y que se requería una actuación inmediata para eliminarlo, y por supuesto me ofrecía seguir sus indicaciones para solucionarlo enseguida. Bien centrada en la ventana, la frase: SOLUCIONAR PROBLEMA AHORA, amenazaba con desatar la tormenta si no tocaba en ella. Debajo decía que estaba a punto de caer en un desastre cibernético si no lo solucionaba de inmediato, dándome de alta en el programa antivirus que me ofrecían.

Pero como no seguí sus instrucciones, el engaño que pretendían no progresaba. Durante un rato me limité a quitar la ventana cada vez que ésta aparecía. Yo intentaba, aprovechar unos segundos para progresar en la otra descarga, pensando que quizás la ventana tramposa tuviera un límite de repeticiones. Pero no. Solo dejaba de aparecer si no abría el navegador. Así que cerré el navegador y decidí olvidarme de la descarga que necesitaba. Poco después cambié de navegador, a ver si el mensaje se olvidaba de mí, pero la ventana engañosa también cambió al nuevo navegador. Al parecer se adaptaba a ambos. Apagué y reinicié el ordenador. Pero resulta que también se reiniciaron la ventana y los mensajes tramposos. Pensé en qué hacer, le di vueltas a la cabeza y busqué en la configuración, y allí encontré la manera de parar los mensajes entrantes.

Y respiré aliviado.  

 

Mi pantalla se ha tranquilizado y ya no me da sustos, desde que suprimí la opción de generar avisos automáticos cada vez que me llegase un correo o un aviso de alguno de los programas instalados en el dispositivo.

Eso sí, todavía aparecen con bastante frecuencia anuncios publicitarios que siguen saltando de pronto, y sin previo aviso, para colocarse encima de las páginas que estoy utilizando en la pantalla.

Es algo que puede ser molesto, porque te hace esperar y a veces te confunde y te quita tiempo. Pero no es tan preocupante como caer en una estafa o en algo similar.

Para evitar casos peligrosos lo más recomendable es la prevención, y para prevenir hay que formarse.

Pero cuando el caso ha sucedido, la prevención ya no sirve, y entonces conviene buscar ayuda.

 

¿Le suena la palabra phishing?

¿y vishing?

 

 

¡Tengan cuidado!

Naveguen por Internet con precaución.

Observen detenidamente las páginas web que abren por primera vez, sobre todo si no tienen referencias previas de esa página o si está siguiendo una invitación espontánea.

Examinen con detalle los correos que reciben. También los mensajes y llamadas en su dispositivo móvil.

Y antes de contestar o hacer CLICK en seguir, abrir o aceptar, piensen que los tramposos, los timadores, los estafadores y los extorsionadores también operan en el mundo digital, y que al mínimo descuido, nos pueden hacer perder algo más que nuestro tiempo.

La actividad malvada y en muchos casos delictiva aumenta extraordinariamente en los últimos años. 

Hay instituciones públicas y privadas en todo el mundo que trabajan por hacer que la interacción en Internet sea segura. 

En España destacamos: EL CONSEJO NACIONAL DE CIBERSEGURIDAD, un órgano colegiado de apoyo al Consejo de Seguridad Nacional, en materia de Ciberseguridad, creado el 5 de diciembre de 2013, y el

INSTITUTO NACIONAL DE CIBERSEGURIDAD (INCIBE), entidad dependiente del Ministerio de Energía, Turismo y Agenda Digital, que se encarga de numerosas tareas que vamos a comentar.

 

1

El Consejo Nacional de Ciberseguridad está compuesto por personas representantes de los diferentes departamentos, organismos y agencias de las Administraciones Públicas con competencias en materia de ciberseguridad, con las funciones de coordinar y aprobar las actuaciones que se deban abordar de forma conjunta. En este Consejo pueden participar personas relevantes del sector privado y también algunos especialistas cuya contribución se considere útil o necesaria.

Su objetivo es establecer la cooperación entre las Administraciones Públicas con competencias en materia de ciberseguridad y los sectores públicos y privados del mismo ámbito, para el estudio y análisis de las situaciones, la propuesta de iniciativas y la toma conjunta de decisiones, tanto en el ámbito nacional como en el internacional.

 

2

Por su parte, El Instituto Nacional de Ciberseguridad de España (INCIBE), anteriormente conocido como Instituto Nacional de Tecnologías de la Comunicación (INTECO), es una entidad dependiente del Ministerio para la Transformación Digital y de la Función Pública a través de la Secretaría de Estado de Digitalización e Inteligencia Artificial.

Su misión es afianzar la confianza digital, elevar la ciberseguridad y la resiliencia, y contribuir al mercado digital para impulsar el uso seguro del ciberespacio en España.

INCIBE desempeña un papel crucial en el desarrollo de la ciberseguridad y la confianza digital en diversos ámbitos.

Proporciona recursos y servicios para que los ciudadanos puedan protegerse en línea. Ofrece asesoramiento y herramientas para mejorar la seguridad cibernética de las empresas. A través de la Red académica y de investigación (RedIRIS) colabora con instituciones académicas y de investigación para fortalecer la seguridad digital.

Se enfoca especialmente en áreas críticas para la sociedad, como son los Sectores estratégicos.

Se dedica a la investigación, a la prestación de servicios y la coordinación con otros agentes competentes en ciberseguridad. 

 

 

La Ayuda en Ciberseguridad es el servicio nacional, gratuito y confidencial que INCIBE pone a disposición de los usuarios, para ayudar a resolver los problemas de ciberseguridad que puedan surgir en su día a día.

Está dirigido a los ciudadanos (usuarios de Internet en general),

y a las empresas y profesionales que utilizan Internet y las nuevas tecnologías en el desempeño de su actividad y que deben proteger sus activos y su negocio;

 y a los menores y su entorno (padres, educadores y profesionales que trabajen en el ámbito del menor o la protección online ligada a este público).

El servicio es atendido por un equipo multidisciplinar de expertos, a través de las diferentes opciones de contacto, que ofrecen asesoramiento técnico, psicosocial y legal, en horario de 8 de la mañana a 11 de la noche, los 365 días del año.     

El contacto se puede realizar mediante:

-llamada al teléfono 017,

-envío de mensaje a la cuenta de WhatsApp:

 900 116 117

-envío de mensaje a la cuenta de Telegram: @INCIBE017

 

INCIBE-CERT emite avisos a los que cualquier persona interesada se puede suscribir para estar al día en cuanto a novedades y noticias sobre ciberseguridad.

 


INCIBE organiza experiencias presenciales en tres formatos distintos que recorren el territorio español:

 EXPERIENCIA ROADSHOW, un camión desplegable que viaja a diferentes

lugares de España para enseñar de manera presencial sobre la ciberseguridad 

a todas aquellas personas que quieran vivir la experiencia.                                                                   

EXPERIENCIA STAND, trata de estar presente mediante un stand en ferias

y eventos del territorio nacional con el objetivo de promover 

la concienciación en ciberseguridad.

 

Experiencia PassVRord, una carpa de realidad virtual del INCIBE 

recorrerá todas las provincias españolas con la intención de promover

la ciberseguridad a través de eventos lúdicos ideados para grupos de 

diferentes edades.

 



Y ahora hablemos del PHISHING

Phishing es una actividad engañosa en el ámbito cibernético que consiste básicamente en hacerse pasar por otra persona, que trabaja o presta algún servicio en una empresa reconocida o de confianza para la víctima (lo que supone una suplantación de identidad) para engañarla en sus intenciones y conseguir que realice acciones como revelar información confidencial o hacer click en un enlace digital en Internet.

Para realizar el engaño, se hace uso de la ingeniería social que explota el instinto social de la gente, como es el de ayudar o ser eficiente, o mediante la adulación de la víctima para apelar a su vanidad o mediante la oferta de un trabajo inexistente o de una inesperada ganancia en un sorteo inventando.

El procedimiento en este tipo de engaño es el envío de correos electrónicos a la víctima, o el mostrarle publicidad engañosa mientras navega por internet, mintiéndole al informarle de que ha ganado un premio y que siga un enlace para recibirlo, por ejemplo.

Por supuesto, son promesas falsas (un cebo). El objetivo es robar información o instalar malware en el dispositivo de la víctima, sabotear sistemas, robar contraseñas o dinero a través de fraudes.

Phishing proviene de la palabra inglesa "fishing",  (pesca), haciendo alusión a utilizar un cebo y esperar a que las víctimas "muerdan el anzuelo".

Los tipos de ataques de phising más frecuentes son:

-Phishing tradicional, que consiste en la emisión masiva de correos electrónicos a usuarios. Estos correos suplantan a entidades de confianza (bancos) y persiguen el engaño del usuario y la consecución de información.

Un ejemplo puede ser un mensaje que incluye enlaces a dominios maliciosos, pero para camuflar estos enlaces el texto del enlace es la URL correcta, mientras que el enlace en sí lleva al sitio malicioso.

-Vishing. Es similar al phishing tradicional pero el engaño se produce a través de una llamada telefónica. El término deriva de la unión de dos palabras en inglés: ‘'voice'’ y ‘'phishing’'.

Un ejemplo típico de uso de esta técnica es cuando un ciberdelincuente ha robado ya información confidencial a través de un ataque de phising, pero necesita la clave SMS o token digital para realizar y validar una operación. Entonces el ciberdelincuente llama por teléfono al cliente identificándose como personal del banco y, con mensajes particularmente alarmistas, intenta que el cliente revele el número de su clave SMS o token digital, que son los necesarios para autorizar la transacción.

-Qrishing: phishing a través de códigos QR el cual consiste en la manipulación de códigos QR y el posterior engaño a las víctimas mediante la suplantanción de la página web o aplicación a la que se accede al escanear el código el cual dirige al usuario a un link fraudulento utilizado con la finalidad de obtener información privada de las víctimas.

-Smishing. Es similar al phishing tradicional pero el engaño se produce a través mensajes de texto SMS, o mensajería instantánea (WhatsApp). Un ejemplo de esta técnica es cuando el ciberdelincuente se hace pasar por el banco, y le informa al cliente que se ha realizado una compra sospechosa con su tarjeta de crédito. A su vez, le pide que se comunique con la entidad financiera por teléfono y le da un número falso. El cliente hace la llamada y es ahí cuando el ciberdelincuente, haciéndose pasar alguien del banco, solicita información confidencial para supuestamente cancelar la compra.

En una variante de esta modalidad el mensaje también podría incluir un enlace a una ‘web’ fraudulenta para solicitar información sensible.

 

Los daños causados por el phishing oscilan entre la pérdida del acceso al correo electrónico a pérdidas económicas sustanciales. Aparte de la angustia psicológica y emocional que causan a las víctimas cuando se sienten estafadas de este modo.  

Este tipo de robo de identidad se está extendiendo cada vez más por la facilidad con que algunas personas revelan datos personales, incluyendo el número de la tarjeta de crédito o de la seguridad social.

Una vez que los delincuentes conocen los datos los usan para crear cuentas falsas utilizando el nombre de la víctima, o para gastar el crédito de la víctima, o incluso para impedir que las víctimas puedan acceder a sus propias cuentas.

 

¿Es un delito el phishing?

Sí, en muchos países lo es. El primer juicio contra un phisher en E.E.U.U tuvo lugar el 26 de enero de 2004, cuando la Comisión Federal de Comercio llevó el caso de un adolescente de California que supuestamente creó y utilizó una página web con un diseño que aparentaba ser la página de América Online para poder robar números de tarjetas de crédito.

A raíz de ese primer caso se fueron uniendo sucesivamente muchos países, y hoy el fraude y las estafas a través de Internet es un delito en la mayoría de los estados.

Pero además de recurrir a la justicia, existen varias técnicas para combatir el phishing, que cuentan también con la aplicación de nuevas tecnologías específicas que tienen como objetivo evitarlo.

Otra manera, las respuestas organizativas, que son las estrategias adoptadas por algunas empresas para combatir el phishing, como es la de entrenar a los empleados de modo que puedan reconocer posibles ataques.

Otra manera, crear hábitos en el personal de una empresa o extender su uso entre determinados colectivos.

Algunas compañías se dirigen siempre a sus clientes por su nombre o apellido. De este modo el cliente podrá ponerse en alerta si recibe un correo de esa compañía en el que se le trate de manera genérica. Como, “Estimado cliente”, por ejemplo.

Bueno. Me vienen a la cabeza la cantidad de correos que me llegan a diario, de remitentes distintos, que sin embargo coinciden todos en las mismas cosas.

1-los remitentes aparentan ser bancos y empresas muy conocidas,

2-se dirigen a mí con el nombre del correo completo, como si fuera mi nombre de pila, es decir, yo leo esto:

Estimado señor/señora lasociedadsentada,

La verdad es que, por serio que pueda ser el problema, cuando leo esto me da risa.

3-el texto está escrito con expresiones toscas, propio de frases mal traducidas.

4-promesas y lisonjas… más bien peloteo y piropos. En serio, parecen piropos, y también suenan algo toscos.


Las empresas del sector también buscan respuestas técnicas para luchar contra el phishing.

Por ejemplo, algunos navegadores avisan al usuario cuando va a acceder a páginas sospechosas.

Se crean programas informáticos anti-phishing, que se integran en navegadores y clientes de correo electrónico como una barra de herramientas, y que muestran el dominio real del sitio visitado.

Por otro lado los filtros de spam también ayudan a proteger a los usuarios, ya que reducen el número de correos electrónicos relacionados con el phishing que pueda recibir el usuario.

Además, hay organizaciones que han introducido un paso previo llamado «pregunta secreta», en la que se pregunta información que sólo conocen el usuario y la organización.

Y algunas páginas de Internet han añadido herramientas de verificación que permiten a los usuarios ver imágenes secretas que ellos mismos han seleccionado por adelantado. Si estas imágenes no aparecen, saben que el sitio no es legítimo.

Pero estas y otras formas de autentificación mutua no son muy efectivas porque los ciberdelincuentes aprenden a sortear esos controles.

Muchas compañías de ciberseguridad ofrecen a bancos y otras entidades servicios de monitoreo continuo, analizando y utilizando medios legales para cerrar páginas con contenido phishing.

Y en el caso de transacciones bancarias se manejan soluciones que utilizan el teléfono móvil como un segundo canal de verificación y autorización.

Pero la mejor manera de evitar el phishing es mucho más sencilla, consiste en formar a las personas para que no seamos víctimas de la ingeniería social. Ya sabe: halagos, ronroneo, ofertas falsas pero ambiciosas, promesas, premios generosos que esperan ser recogidos, en su versión blanda, y aviso de desastre cibernético o ruina total si no actúas de inmediato tocando el botón salvador: o sea, tocando en el cebo. Ese que te meterá en un buen problema si caes presa de la adulación o del temor.

Parece que los expertos prevén que el phishing perderá fuerza y que caerá su uso a medida que crezca la formación de la población a nivel mundial. Pero no hay que relajarse, porque también parece que el phishing ha encontrado ya su relevo. Tomen nota: lo llaman pharming.

 

Pharming

El pharming, una combinación de las palabras “phishing” y “farming”, es una estafa en línea similar al phishing. En este tipo de ciberataque de ingeniería social, los delincuentes manipulan el tráfico de un sitio web y redirigen a los internautas que intentan acceder a un sitio específico hacia un sitio diferente y falso.

Estos sitios “falsos” tienen como objetivo capturar información confidencial, como números de seguridad social, números de cuenta, contraseñas y otros datos de identificación personal.

Además, los ciberdelincuentes pueden intentar instalar malware de pharming en la computadora de la víctima.

Por lo general, los sitios web del sector financiero, como bancos, plataformas de pago en línea o sitios de comercio electrónico, son los objetivos principales de este tipo de ataque.

El pharming se aprovecha del funcionamiento de la navegación por Internet, especialmente del proceso en el que los servidores DNS convierten las direcciones de Internet en direcciones IP para establecer conexiones. Existen dos formas principales de ataque de pharming:

Pharming basado en malware: Un hacker envía un código malicioso a través de un correo electrónico que instala un virus o troyano en la computadora del usuario. Este código altera el archivo de hosts de la computadora para redirigir el tráfico a un sitio web falso, incluso si el usuario escribe la dirección correcta.

Envenenamiento de DNS: Los pharmers modifican la tabla DNS de un servidor, lo que provoca que varios usuarios visiten inadvertidamente sitios web falsos en lugar de los legítimos a los que quería llegar.

Aunque los servidores DNS son más difíciles de atacar debido a sus defensas, el envenenamiento de DNS puede afectar a un número significativo de víctimas y ofrecer grandes recompensas a los ciberdelincuentes.

(Texto aportado por Copilot, IA Generativa de texto, Microsoft)

 

RECOMENDACIONES

En lugar de libros las recomendaciones de hoy serán una página web y textos descargables que pueden bajarse desde esa web.

Y por supuesto que no podía ser otra web que la del INCIBE.

Porque la web, INCIBE | INCIBE aporta mucha información de interés general, para todos los ciudadanos, y también información de intereses más específicos, como los que se centran en determinados grupos sociales (menores, mayores, cooperantes, etc.) y los que se centran en las empresas.

Además de información detallada en cada apartado, la web informa de eventos y de actividades presenciales que organiza en diferentes ciudades del territorio español con el objetivo de difundir la formación y concienciar a la población en materia de ciberseguridad.

Crea y distribuye infografías, carteles y guías para difundir y compartir, y elabora boletines periódicos con información novedosa de casos, decisiones y proyectos en materia de ciberseguridad.

Ofrece cursos de formación a la vez que numerosos recursos gratuitos.

Muchos de esos recursos son descargables.

Recursos descargables | Ciudadanía | INCIBE

 

Entre ellos, hay dos guías muy interesantes para cualquier persona que quiera estar informada sobre el tema de la seguridad en Internet.

Esas dos guías son los textos que recomiendo hoy. No son para leer de un tirón, ya sé, son para tenerlos, conocerlos y consultarlos de vez en cuando, sobre todo cuando se tengan dudas o se quiera saber sobre algo específico.

 

Guía Glosario de términos de Ciberseguridad

https://www.incibe.es/empresas/guias

 

Glosario de términos de ciberseguridad: una guía de aproximación para el empresario

 En el mundo de la ciberseguridad se emplean términos y acrónimos de perfil técnico, que no se usan en el día a día de nuestro lenguaje, y en el caso de personas que no se dedican al ámbito de la ciberseguridad, pueden complicar la comprensión de un artículo o guía.

Publicado el: 2021-05-18

 

Guía de ciberataques

https://www.incibe.es/ciudadania/formacion/guias

 

 


 


 


No hay comentarios:

Publicar un comentario

  LA SOCIEDAD SENTADA EPISODIO 9 La renovación del CGPJ El pasado 12 de junio, el presidente del Gobierno, Pedro Sánchez, en una entrevista ...