LA CIBERSEGURIDAD
Un día, hace unas semanas, mientras trabajaba en el montaje del primer episodio del Podcast, me sucedió algo que me desconcertó por completo, y estuve más de una hora dándole vueltas y vueltas sin saber qué hacer.
Ocurrió mientras seguía cuidadosamente las indicaciones de
una página web que necesitaba utilizar para descargar una aplicación que añade
nuevas funcionalidades a mi programa de edición de sonido.
Seguí los pasos que me iba señalando el programa para proceder a la
descarga. Así que cuando una nueva ventana saltó a mi pantalla y vi que tenía
un botón para ACEPTAR, toqué con el dedo encima de él.
No había leído ni una sola palabra más antes de aceptar, así
que no esperaba encontrarme frente a un más que posible intención de engaño. Pero el siguiente pantallazo hizo saltar mis alarmas. Era evidente que se trataba de una ventana
intrusa, y enseguida me di cuenta de que había cometido un error.
Lo primero que hice a continuación fue eliminar de la pantalla la ventana intrusa y seguir con el procedimiento de la descarga que deseaba.
Bueno, intenté seguir. Pero fue
imposible, eliminaba esa maldita ventana, pero cada 5 segundos volvía a
aparecer. El mensaje se renovaba reiteradamente. Leído todo lo que contenía la
ventana, era evidente que se trataba de una trampa. En un lenguaje burdo y mal
traducido al español, me avisaba de que tenía un virus en mi dispositivo y que
se requería una actuación inmediata para eliminarlo, y por supuesto me ofrecía
seguir sus indicaciones para solucionarlo enseguida. Bien centrada en la
ventana, la frase: SOLUCIONAR PROBLEMA AHORA, amenazaba con desatar la tormenta
si no tocaba en ella. Debajo decía que estaba a punto de caer en un desastre
cibernético si no lo solucionaba de inmediato, dándome de alta en el programa
antivirus que me ofrecían.
Pero como no seguí sus instrucciones,
el engaño que pretendían no progresaba. Durante un rato me limité a quitar la
ventana cada vez que ésta aparecía. Yo intentaba, aprovechar unos segundos para
progresar en la otra descarga, pensando que quizás la ventana tramposa tuviera
un límite de repeticiones. Pero no. Solo dejaba de aparecer si no abría el
navegador. Así que cerré el navegador y decidí olvidarme de la descarga que
necesitaba. Poco después cambié de navegador, a ver si el mensaje se olvidaba
de mí, pero la ventana engañosa también cambió al nuevo navegador. Al parecer
se adaptaba a ambos. Apagué y reinicié el ordenador. Pero resulta que también
se reiniciaron la ventana y los mensajes tramposos. Pensé en qué hacer, le di
vueltas a la cabeza y busqué en la configuración, y allí encontré la manera de
parar los mensajes entrantes.
Y respiré aliviado.
Mi pantalla se ha tranquilizado y ya
no me da sustos, desde que suprimí la opción de generar avisos automáticos cada
vez que me llegase un correo o un aviso de alguno de los programas instalados
en el dispositivo.
Eso sí, todavía aparecen con bastante
frecuencia anuncios publicitarios que siguen saltando de pronto, y sin previo
aviso, para colocarse encima de las páginas que estoy utilizando en la
pantalla.
Es algo que puede ser molesto, porque
te hace esperar y a veces te confunde y te quita tiempo. Pero no es tan
preocupante como caer en una estafa o en algo similar.
Para evitar casos peligrosos lo más
recomendable es la prevención, y para prevenir hay que formarse.
Pero cuando el caso ha sucedido, la
prevención ya no sirve, y entonces conviene buscar ayuda.
¿Le suena la palabra phishing?
¿y vishing?
¡Tengan cuidado!
Naveguen por Internet con precaución.
Observen detenidamente las páginas
web que abren por primera vez, sobre todo si no tienen referencias previas de
esa página o si está siguiendo una invitación espontánea.
Examinen con detalle los correos que
reciben. También los mensajes y llamadas en su dispositivo móvil.
Y antes de contestar o hacer CLICK en
seguir, abrir o aceptar, piensen que los tramposos, los timadores, los
estafadores y los extorsionadores también operan en el mundo digital, y que al
mínimo descuido, nos pueden hacer perder algo más que nuestro tiempo.
La actividad malvada y en muchos casos delictiva aumenta extraordinariamente en los últimos años.
Hay instituciones públicas y privadas en todo el mundo que trabajan por hacer que la interacción en Internet sea segura.
En España destacamos: EL CONSEJO NACIONAL DE CIBERSEGURIDAD, un órgano colegiado de apoyo al Consejo de Seguridad Nacional, en materia de Ciberseguridad, creado el 5 de diciembre de 2013, y el
INSTITUTO NACIONAL DE
CIBERSEGURIDAD (INCIBE), entidad dependiente del Ministerio de Energía,
Turismo y Agenda Digital, que se encarga de numerosas tareas que vamos a comentar.
1
El Consejo Nacional de Ciberseguridad
está compuesto por personas representantes de los diferentes departamentos,
organismos y agencias de las Administraciones Públicas con competencias en
materia de ciberseguridad, con las funciones de coordinar y aprobar las
actuaciones que se deban abordar de forma conjunta. En este Consejo pueden participar
personas relevantes del sector privado y también algunos especialistas cuya
contribución se considere útil o necesaria.
Su objetivo es establecer la cooperación
entre las Administraciones Públicas con competencias en materia de
ciberseguridad y los sectores públicos y privados del mismo ámbito, para el
estudio y análisis de las situaciones, la propuesta de iniciativas y la toma conjunta
de decisiones, tanto en el ámbito nacional como en el internacional.
2
Por su parte, El Instituto
Nacional de Ciberseguridad de España (INCIBE), anteriormente conocido como
Instituto Nacional de Tecnologías de la Comunicación (INTECO), es una entidad
dependiente del Ministerio para la Transformación Digital y de la Función
Pública a través de la Secretaría de Estado de Digitalización e
Inteligencia Artificial.
Su misión es afianzar
la confianza digital, elevar la ciberseguridad y
la resiliencia, y contribuir al mercado digital para impulsar el uso
seguro del ciberespacio en España.
INCIBE desempeña un papel crucial en
el desarrollo de la ciberseguridad y la confianza digital en diversos ámbitos.
Proporciona recursos y servicios para
que los ciudadanos puedan protegerse en línea. Ofrece asesoramiento y
herramientas para mejorar la seguridad cibernética de las empresas. A través de
la Red académica y de investigación (RedIRIS) colabora con instituciones
académicas y de investigación para fortalecer la seguridad digital.
Se enfoca especialmente en áreas
críticas para la sociedad, como son los Sectores estratégicos.
Se dedica a la investigación, a la
prestación de servicios y la coordinación con otros agentes competentes en
ciberseguridad.
La Ayuda en Ciberseguridad es
el servicio nacional, gratuito y confidencial que INCIBE pone a disposición
de los usuarios, para ayudar a resolver los problemas de ciberseguridad que
puedan surgir en su día a día.
Está dirigido a
los ciudadanos (usuarios de Internet en general),
y a las empresas y
profesionales que utilizan Internet y las nuevas tecnologías en el
desempeño de su actividad y que deben proteger sus activos y su negocio;
y a los menores y su
entorno (padres, educadores y profesionales que trabajen en el ámbito del
menor o la protección online ligada a este público).
El servicio es atendido por un equipo
multidisciplinar de expertos, a través de las diferentes opciones de contacto,
que ofrecen asesoramiento técnico, psicosocial y legal, en horario de 8 de
la mañana a 11 de la noche, los 365 días del año.
El contacto se puede realizar
mediante:
-llamada al teléfono 017,
-envío de mensaje a la cuenta de
WhatsApp:
900 116 117
-envío de mensaje a la cuenta de
Telegram: @INCIBE017
INCIBE-CERT emite avisos a los que cualquier
persona interesada se puede suscribir para estar al día en cuanto a novedades y
noticias sobre ciberseguridad.
INCIBE organiza experiencias
presenciales en tres formatos distintos que recorren el territorio español:
EXPERIENCIA ROADSHOW, un camión desplegable que viaja a diferentes
lugares de España para enseñar de manera presencial sobre la ciberseguridad
a todas aquellas personas que quieran vivir la experiencia.
|
||
|
Y ahora hablemos del PHISHING
Phishing es una actividad engañosa en el ámbito cibernético que consiste
básicamente en hacerse pasar por otra persona, que trabaja o presta algún servicio
en una empresa reconocida o de confianza para la víctima (lo que supone una suplantación
de identidad) para engañarla en sus intenciones y conseguir que realice acciones
como revelar información confidencial o hacer click en un enlace digital en
Internet.
Para realizar el engaño, se hace uso de la ingeniería social que explota el instinto social
de la gente, como es el de ayudar o ser eficiente, o mediante la adulación de
la víctima para apelar a su vanidad o mediante la oferta de un trabajo
inexistente o de una inesperada ganancia en un sorteo inventando.
El procedimiento en este tipo de engaño es el envío de correos
electrónicos a la víctima, o el mostrarle publicidad engañosa mientras navega
por internet, mintiéndole al informarle de que ha ganado un premio y que siga un enlace para recibirlo,
por ejemplo.
Por supuesto, son promesas falsas (un cebo). El objetivo es robar
información o instalar malware en el dispositivo de la víctima,
sabotear sistemas, robar contraseñas o dinero a través de fraudes.
Phishing proviene de la palabra inglesa "fishing", (pesca), haciendo alusión a utilizar un cebo y
esperar a que las víctimas "muerdan el anzuelo".
Los tipos de ataques de phising más frecuentes son:
-Phishing tradicional, que consiste en la emisión masiva
de correos electrónicos a usuarios. Estos correos suplantan a entidades de
confianza (bancos) y persiguen el engaño del usuario y la consecución de
información.
Un ejemplo puede ser un mensaje que incluye enlaces a dominios maliciosos,
pero para camuflar estos enlaces el texto del enlace es la URL correcta, mientras
que el enlace en sí lleva al sitio malicioso.
-Vishing. Es similar al phishing tradicional pero el engaño se produce a
través de una llamada telefónica. El término deriva de la unión de dos palabras
en inglés: ‘'voice'’ y ‘'phishing’'.
Un ejemplo típico de uso de esta técnica es cuando un ciberdelincuente ha
robado ya información confidencial a través de un ataque de phising, pero
necesita la clave SMS o token digital para realizar y validar una operación. Entonces
el ciberdelincuente llama por teléfono al cliente identificándose como personal
del banco y, con mensajes particularmente alarmistas, intenta que el cliente
revele el número de su clave SMS o token digital, que son los necesarios para
autorizar la transacción.
-Qrishing: phishing a través de códigos QR el
cual consiste en la manipulación de códigos QR y el posterior engaño a las
víctimas mediante la suplantanción de la página web o aplicación a la que se
accede al escanear el código el cual dirige al usuario a un link fraudulento
utilizado con la finalidad de obtener información privada de las víctimas.
-Smishing. Es similar al phishing tradicional
pero el engaño se produce a través mensajes de texto SMS, o mensajería instantánea
(WhatsApp). Un ejemplo de esta técnica es
cuando el ciberdelincuente se hace pasar por el banco, y le informa al cliente
que se ha realizado una compra sospechosa con su tarjeta de crédito. A su vez, le
pide que se comunique con la entidad financiera por teléfono y le da un número
falso. El cliente hace la llamada y es ahí cuando el ciberdelincuente,
haciéndose pasar alguien del banco, solicita información confidencial para
supuestamente cancelar la compra.
En una variante de esta modalidad el mensaje también podría incluir un
enlace a una ‘web’ fraudulenta para solicitar información sensible.
Los daños causados por el phishing oscilan entre la pérdida del
acceso al correo electrónico a pérdidas económicas sustanciales. Aparte de la
angustia psicológica y emocional que causan a las víctimas cuando se sienten
estafadas de este modo.
Este tipo de robo de identidad se está extendiendo cada vez más por la
facilidad con que algunas personas revelan datos personales, incluyendo el
número de la tarjeta de
crédito o de la seguridad social.
Una vez que los delincuentes conocen los datos los usan para crear
cuentas falsas utilizando el nombre de la víctima, o para gastar el crédito de
la víctima, o incluso para impedir que las víctimas puedan acceder a sus
propias cuentas.
¿Es un delito el phishing?
Sí, en muchos países lo es. El primer juicio contra un phisher en E.E.U.U
tuvo lugar el 26 de enero de 2004, cuando la Comisión Federal de Comercio llevó
el caso de un adolescente de California que supuestamente creó y utilizó una
página web con un diseño que aparentaba ser la página de América Online para poder robar números de
tarjetas de crédito.
A raíz de ese primer caso se fueron uniendo sucesivamente muchos países, y hoy el fraude y las estafas a través de Internet es un delito en la mayoría de los estados.
Pero además de recurrir a la justicia, existen varias técnicas para
combatir el phishing, que cuentan también con la aplicación de nuevas tecnologías
específicas que tienen como objetivo evitarlo.
Otra manera, las respuestas organizativas, que son las estrategias
adoptadas por algunas empresas para combatir el phishing, como es la de
entrenar a los empleados de modo que puedan reconocer posibles ataques.
Otra manera, crear hábitos en el personal de una empresa o extender su
uso entre determinados colectivos.
Algunas compañías se dirigen siempre a sus clientes
por su nombre o apellido. De este modo el cliente podrá ponerse en alerta si
recibe un correo de esa compañía en el que se le trate de manera genérica.
Como, “Estimado cliente”, por ejemplo.
Bueno. Me vienen a la cabeza la cantidad de correos que me llegan a
diario, de remitentes distintos, que sin embargo coinciden todos en las mismas
cosas.
1-los remitentes aparentan ser bancos y empresas muy conocidas,
2-se dirigen a mí con el nombre del correo completo, como si fuera mi
nombre de pila, es decir, yo leo esto:
Estimado señor/señora lasociedadsentada,
La verdad es que, por serio que pueda ser el problema, cuando
leo esto me da risa.
3-el texto está escrito con expresiones toscas, propio de frases mal traducidas.
4-promesas y lisonjas… más bien peloteo y piropos. En serio, parecen
piropos, y también suenan algo toscos.
Las empresas del sector también buscan respuestas técnicas para luchar
contra el phishing.
Por ejemplo, algunos navegadores avisan al usuario cuando va a acceder a
páginas sospechosas.
Se crean programas informáticos anti-phishing, que se integran en
navegadores y clientes de correo electrónico como una barra de herramientas, y
que muestran el dominio real del sitio visitado.
Por otro lado los filtros de spam también ayudan a proteger a los
usuarios, ya que reducen el número de correos electrónicos relacionados con el
phishing que pueda recibir el usuario.
Además, hay organizaciones que han introducido un paso previo llamado «pregunta
secreta», en la que se pregunta información que sólo conocen el usuario y la
organización.
Y algunas páginas de Internet han añadido herramientas de verificación
que permiten a los usuarios ver imágenes secretas que ellos mismos han seleccionado
por adelantado. Si estas imágenes no aparecen, saben que el sitio no es
legítimo.
Pero estas y otras formas de autentificación mutua no son muy efectivas
porque los ciberdelincuentes aprenden a sortear esos controles.
Muchas compañías de ciberseguridad ofrecen a bancos y otras entidades
servicios de monitoreo continuo, analizando y utilizando medios legales para
cerrar páginas con contenido phishing.
Y en el caso de transacciones bancarias se manejan soluciones que
utilizan el teléfono móvil como un segundo canal de verificación y autorización.
Pero la mejor manera de evitar el phishing es mucho más sencilla,
consiste en formar a las personas para que no seamos víctimas de la ingeniería social. Ya sabe: halagos, ronroneo, ofertas
falsas pero ambiciosas, promesas, premios generosos que esperan ser recogidos,
en su versión blanda, y aviso de desastre cibernético o ruina total si no
actúas de inmediato tocando el botón salvador: o sea, tocando en el cebo. Ese
que te meterá en un buen problema si caes presa de la adulación o del temor.
Parece que los expertos prevén que el phishing perderá fuerza y que caerá su uso a medida que crezca la formación de la población a nivel mundial. Pero no hay que relajarse, porque también parece que el phishing ha encontrado ya su relevo. Tomen nota: lo llaman pharming.
El pharming, una combinación de las
palabras “phishing” y “farming”, es una estafa en línea similar al phishing. En
este tipo de ciberataque de ingeniería social, los delincuentes manipulan el
tráfico de un sitio web y redirigen a los internautas que intentan acceder a un
sitio específico hacia un sitio diferente y falso.
Estos sitios “falsos” tienen como
objetivo capturar información confidencial, como números de seguridad social,
números de cuenta, contraseñas y otros datos de identificación personal.
Además, los ciberdelincuentes pueden
intentar instalar malware de pharming en la computadora de la víctima.
Por lo general, los sitios web del
sector financiero, como bancos, plataformas de pago en línea o sitios de
comercio electrónico, son los objetivos principales de este tipo de ataque.
El pharming se aprovecha del
funcionamiento de la navegación por Internet, especialmente del proceso en el
que los servidores DNS convierten las direcciones de Internet en direcciones IP
para establecer conexiones. Existen dos formas principales de ataque de
pharming:
Pharming basado en malware: Un hacker
envía un código malicioso a través de un correo electrónico que instala un
virus o troyano en la computadora del usuario. Este código altera el archivo de
hosts de la computadora para redirigir el tráfico a un sitio web falso, incluso
si el usuario escribe la dirección correcta.
Envenenamiento de DNS: Los pharmers
modifican la tabla DNS de un servidor, lo que provoca que varios usuarios
visiten inadvertidamente sitios web falsos en lugar de los legítimos a los que
quería llegar.
(Texto aportado por Copilot, IA
Generativa de texto, Microsoft)
RECOMENDACIONES
En lugar de libros las recomendaciones de hoy serán una página web y textos descargables que pueden bajarse desde esa web.
Y por
supuesto que no podía ser otra web que la del INCIBE.
Porque la web, INCIBE | INCIBE aporta mucha información de interés
general, para todos los ciudadanos, y también información de intereses más
específicos, como los que se centran en determinados grupos sociales (menores,
mayores, cooperantes, etc.) y los que se centran en las empresas.
Además de información detallada en cada apartado, la web
informa de eventos y de actividades presenciales que organiza en diferentes
ciudades del territorio español con el objetivo de difundir la formación y
concienciar a la población en materia de ciberseguridad.
Crea y distribuye infografías, carteles y guías para difundir
y compartir, y elabora boletines periódicos con información novedosa de casos,
decisiones y proyectos en materia de ciberseguridad.
Ofrece cursos de formación a la vez que numerosos recursos
gratuitos.
Muchos de esos recursos son descargables.
Recursos descargables | Ciudadanía |
INCIBE
Entre ellos, hay dos guías muy interesantes para cualquier
persona que quiera estar informada sobre el tema de la seguridad en Internet.
Esas dos guías son los textos que recomiendo hoy. No son para
leer de un tirón, ya sé, son para tenerlos, conocerlos y consultarlos de vez en
cuando, sobre todo cuando se tengan dudas o se quiera saber sobre algo
específico.
Guía Glosario de términos de Ciberseguridad
https://www.incibe.es/empresas/guias
Glosario de términos de ciberseguridad: una
guía de aproximación para el empresario
En el mundo de la ciberseguridad se emplean
términos y acrónimos de perfil técnico, que no se usan en el día a día de
nuestro lenguaje, y en el caso de personas que no se dedican al ámbito de la
ciberseguridad, pueden complicar la comprensión de un artículo o guía.
Publicado el: 2021-05-18
Guía de ciberataques
https://www.incibe.es/ciudadania/formacion/guias