Los expertos en ciberseguridad advierten sobre la necesidad de sensibilizar a la sociedad en esta materia, a través de campañas de concienciación, ya que, generalmente los ciberdelincuentes explotan, fundamentalmente, las vulnerabilidades del ser humano mediante sencillas técnicas, aunque sofisticadas, de ingeniería social, como por ejemplo, el envío de correos electrónicos que generalmente tienen como objetivo engañar a la víctima para que haga clic en enlaces peligrosos, beneficiándose los ciberdelincuentes, en la mayoría de los casos, de alguno de las siguientes situaciones: la confusión con un mensaje muy convincente que aparenta ser de una entidad financiera, también, por las prisas del día a día, o incluso, por estar esperando alguna comunicación de su entidad.
Una de las finalidades de este tipo de práctica consiste en el robo de las claves de acceso a la cuenta bancaria, por ello, es imprescindible tener la máxima precaución ante mensajes supuestamente procedentes de la entidad financiera, siendo necesario:
- Comprobar la dirección y asegurarnos que corresponde con la de nuestra entidad.
- Evitar la descarga de archivos adjuntos al correo electrónico recibido.
- Desconfiar de cualquier comunicación de la entidad que no sea habitual.
- Comprobar con la entidad si han realizado ellos la comunicación.
El incremento de este tipo de actividad ilícita durante los últimos años resulta preocupante, ya representa uno de cada cinco delitos cometidos en España, por lo que, al objeto de intentar reducirla, se considera fundamental que todos los actores afectados alerten de las amenazas, informen de las principales características para identificar estos riesgos y, evitar que algunas personas se conviertan en nuevas víctimas, aunque siempre habrá alguien que caiga en la trampa, por curiosidad o confianza.
Otros protagonistas importantes en materia de ciberdelincuencia son el robo de datos y la extorsión, y en los países más digitalizados es donde se registran el mayor número de ataques de ransomware, aunque cualquier país se puede ver afectado, tanto en el sector púbico como en el sector privado.
En las tácticas de extorsión utilizadas por los ciberdelincuentes se ha detectado una mayor presión sobre la víctima, aumentando con ello la probabilidad de que se pague el rescate y, aunque se observa una menor actividad de la encriptación de archivos y documentos de las víctimas, se aprecia un incremento en las amenazas de filtración de datos y demandas de pago, a cambio de no revelar la información robada.
Por lo que respecta a las empresas, algunos informes señalan que, más o menos, tres de cada cuatro empresas han sufrido por lo menos un ciberataque en los últimos dos años, y un porcentaje elevado de ellos han sido graves.
Por ello, es fundamental la concienciación de los directivos y disponer de una política de ciberseguridad que combine tecnología y personas, teniendo en cuenta que cualquier información sensible es susceptible de ser robada, aunque los ciberataques más comunes son aquellos que utilizan técnicas que implican manipulación y/o engaño para inducir a los empleados a desviar pagos a cuentas fraudulentas.
En este sentido, es necesario establecer un protocolo en la organización, y siempre que un proveedor muestre una actitud diferente a la habitual, debe saltar una alerta.
Por ejemplo, cuando nos envíen un correo electrónico en el que solicitan que los siguientes pagos se realicen a una cuenta bancaria diferente, hay que desconfiar, aunque sea un proveedor habitual, de toda la vida, y posiblemente, con hacer una simple gestión con dicho proveedor, para que nos confirme si realmente han cambiado la cuenta bancaria, es muy probable que nos pueda ahorrar algún disgusto, incluso, si es necesario, se debería consultando a la entidad financiera si quien está detrás de esa cuenta es quien dice ser.
Otro ejemplo de este tipo, que también nos debe hacer que sospechemos, está relacionado con la realización de una operación con más urgencia de lo normal, es el denominado fraude al CEO, cuyo objetivo es engañar a los empleados que tienen acceso a las finanzas.
Otro ejemplo de este tipo, que también debe hacer que sospechemos, es el denominado «fraude al CEO», cuyo objetivo es engañar a los empleados que tienen acceso a las finanzas, para que realicen una operación con más urgencia de lo normal. El modus operandi es el siguiente, el ciberdelincuente, que previamente ha conocido el funcionamiento de la organización, mediante el envío de un correo electrónico o cualquier otro medio, se hace pasar por un directivo solicitando el pago urgente de una factura «falsa» o la realización de una transferencia de dinero desde la cuenta de la empresa, con alguna excusa, como puede ser la reserva para la compra de un local, un proyecto en marcha, etc. En este caso, el protocolo de la organización debería establecer la obligación de realizar una llamada telefónica al directivo que solicita el pago o la transferencia, aunque sea fin de semana o esté de vacaciones en el extranjero, de esta forma confirmará si debe realizarse dicho pago o transferencia, o quizás no.
También es importante que el contenido corporativo de las organizaciones, que se comparte en redes sociales, no ofrezca pistas innecesarias que puedan utilizar los ciberdelincuentes en un futuro.
Otra ciberestafa, que últimamente se ha incrementado de manera considerable, es la denominada «romántica», donde los ciberdelincuentes se dirigen a sus objetivos a través de redes sociales, aplicaciones de citas e incluso enviando mensajes directos a números de teléfono, con algún pretexto para establecer un falso vínculo emocional o afectivo con la futura víctima, y así ganarse su confianza, para ello, utilizan sofisticadas técnicas de ingeniería social y se suelen hacer pasar, muchas veces con éxito, por asesor financiero, que conoce un método de inversión que le permite muchos lujos y viajes, con objeto de que la víctima realice inversiones reiteradas en cuentas falsas, para posteriormente retirar los fondos aportados.
El modus operandi de la mayoría de ciberfraudes es similar, primero se dirigen a los objetivos a través de correos electrónicos, páginas web suplantadas, técnicas de ingeniería social, etc., posteriormente, intentan granjearse la confianza de las víctimas para que ejecuten la acción solicitada, y finalmente, retiran el dinero de las víctimas.
I. Medidas de seguridad
Para la elaboración de cualquier plan de prevención de amenazas sólido, es fundamental tener conocimiento de las vulnerabilidades en materia de ciberseguridad a las que estamos expuestos, y en caso de ser necesario, se debe realizar una auditoría al objeto de evaluar las posibles brechas del sistema y, a partir de ahí, tomar las medidas que se consideren oportunas para mitigar las posibles vulnerabilidades detectadas, consiguiendo con ello estar más prevenidos ante un ciberataque.
Los sistemas que almacenan y gestionan grandes cantidades de datos, requieren una atención especial para evitar puertas de entrada a cualquier tipo de ataque por parte de los ciberdelincuentes, siendo necesario proteger los servidores, el sistema operativo y todos los componentes relacionados con el sistema informático. Además, también es necesario limitar el acceso a los archivos y directorios y deshabilitar servicios y funciones innecesarios que no se utilicen, debiendo configurar adecuadamente los cortafuegos.
Las organizaciones que sólo responden a amenazas específicas o actúan después de haber sido víctimas, son más vulnerables a cualquier ataque, por ello deberían valorar la elaboración de un sistema preventivo eficaz ante cualquier amenaza.
Al igual que los ciberdelincuentes se adaptan de forma rápida a cualquier tipo de cambio, las organizaciones tienen el deber de invertir —que no gastar— en la adaptación constante de sus procedimientos de ciberseguridad y, a la vez, formar en esta materia a sus empleados, incluidos los directivos, inculcando a todos ellos el término «Confianza cero».
II. Inteligencia artificial
Por otra parte, el último año ha sido el boom de la Inteligencia Artificial, ofreciendo muchas oportunidades, contribuyendo a la automatización en la detección de amenazas en redes y correos electrónicos, así como al análisis de las actividades y el comportamiento de los usuarios en busca de indicios maliciosos.
Pero también ha servido de ayuda a los ciberdelincuentes en la creación de sofisticados programas dañinos hechos a medida, códigos maliciosos, herramientas de pirateo informático, así como en la redacción de correos electrónicos para las campañas de phishing cada vez más coherentes y convincentes, pudiendo automatizar procesos que antes eran manuales y requerían conocimientos técnicos, acelerando así sus operaciones.
Debido a la adopción de las tecnologías de detección y respuesta basadas en el comportamiento, ha descendido la eficiencia del software malicioso clásico, como pueden ser los malwares o virus más tradicionales, motivo por el que los ciberdelincuentes han tenido que cambiar sus estrategias y actualmente los malwares utilizan tácticas que no generan alertas a las víctimas y pasan desapercibidos.
Es complicado predecir cómo va a evolucionar la Inteligencia Artificial y su impacto en la ciberseguridad, pero teniendo en cuenta su capacidad de aprendizaje, de modo automático, para generar situaciones en las cuales es difícil diferenciar si las imágenes, vídeos y audios son reales o creadas, se puede aventurar una mayor eficacia a la hora de suplantar la identidad con fines fraudulentos.
III. Medidas preventivas contra los ciberataques
En un entorno donde los ciberatacantes continúan perfeccionando sus técnicas y las amenazas siguen en aumento, resulta imprescindible, como ya se ha comentado anteriormente, concientizar a la población sobre esta temática, y por ello vamos a exponer un decálogo con objeto de protegernos de los ciberdelincuentes en el entorno digital:
1. Acceder de forma segura, escribiendo la dirección de la entidad financiera directamente en la barra del navegador y accediendo desde dicha página. También a través de la app del teléfono móvil. Si se accede vía web, debemos asegurarnos de que la dirección es la correcta.
2. Proteger los datos personales, teniendo en cuenta que la entidad financiera nunca solicitará, por correo electrónico o SMS, información confidencial, económica o personal, ni credenciales bancarias, números de cuenta o de tarjeta.
3. Crear contraseñas robustas, que sean largas y complejas, incluyendo mayúsculas, minúsculas, números y caracteres especiales, debiendo cambiarse de vez en cuando, y no utilizar siempre la misma para todo, guardándolas en gestores de contraseñas.
4. No descargar ficheros sospechosos, ni pinchar sobre enlaces que nos envíen a través de SMS o correo electrónico, pueden contener virus.
5. Actualizar dispositivos y antivirus, las actualizaciones añaden nuevas funcionalidades e incorporan mejoras en la seguridad y corrigen fallos de la versión anterior.
6. Verificar la conexión, y cuando se está conectado a una wifi pública, nunca realizar compras online, ni acceder a la banca por internet, ni enviar información confidencial.
7. Desconfiar de los mensajes extraños, que ofrezcan algún premio, ingreso de dinero, o que con urgencia inciten a realizar alguna acción relacionada con revelar algún dato personal.
8. Mantener la alerta con el phishing, los mensajes engañosos suelen remitir a una web muy similar al de entidad financiera, organismo de la administración, empresa de e-commerce, etc., por eso debemos fijarnos en la barra de direcciones, y comprobar si corresponde con la verdadera.
9. Comprar con medios de pago seguros, tarjetas de crédito o de débito virtuales, los wallets o tarjetas prepago son alternativas de confianza.
10. Cerrar siempre la sesión, tanto en las aplicaciones como en la web de la entidad financiera, redes sociales, tiendas online, etc. Se puede activar la desconexión automática para garantizar que el móvil o portátil se bloquea tras varios minutos sin uso.
IV. Conclusión
Los ciberdelincuentes tienen conocimiento que las vulnerabilidades provienen, fundamentalmente, del eslabón más débil de la cadena, el ser humano, motivo por el que son los principales objetivos de los ciberataques.
Por ello, es imprescindible poner el foco de atención, principalmente, en la sensibilización de la sociedad, a través de campañas de concienciación en materia de ciberseguridad.
Las empresas deben apostar por la inversión en ciberseguridad, por la elaboración de planes de formación para los empleados y los directivos, y el establecimiento de planes de prevención de amenazas sólidos.
Por otra parte, es necesario que todos los actores afectados alerten de las amenazas, e informen sobre cómo se podrían identificar los riesgos, evitando con ello más víctimas.
En cuanto a la inteligencia artificial, no cabe duda de la cantidad de oportunidades que ofrece a la hora de prevenir los ciberfraudes, pero es necesario tener en cuenta que los ciberdelincuentes también se pueden beneficiar de sus posibilidades a la hora de cometer actividades delictivas más eficaces.
Por último, en ningún ámbito relacionado con la seguridad se puede garantizar ésta al 100%, por lo tanto, hay que adoptar todas las precauciones posibles y, sobre todo, actuar con prudencia y sentido común. Todo ello ayudará a evitar ser víctima de ciberfraude.
