Los ciberdelincuentes pueden aprovechar la crisis del coronavirus para atacar nuestros ordenadores, tabletas o teléfonos móviles y robarnos datos sensibles o personales. Es tiempo de confinamiento necesario y obligatorio que nos facilita pasar más tiempo conectados en la red y nos expone más de lo que es habitual a sus riesgos. David Megías y Helena Rifà, investigadores expertos en ciberseguridad de la Internet, Interdisciplinary Institute (IN3) de la Universidad Abierta de Catalunya (UOC), facilitan consejos prácticos para evitar ser víctimas de actividades maliciosas a internet en plena crisis del coronavirus.
Las crisis también son situaciones para aprender. De hecho, en chino este concepto se compone de la suma del ideograma de peligro y del de oportunidad. Pero no siempre se saca provecho de oportunidades con buenas intenciones. La crisis presente puede ser un caldo de cultivo para que acciones maliciosas habituales que se propagan por la red provoquen a más víctimas, ya que una buena parte de la sociedad está más tiempo conectada de lo que es habitual. "Las campañas maliciosas funcionan por estadística. Sus autores saben que hay un cierto número de usuarios, un porcentaje aunque sea pequeño, que caerá," indican los expertos de la UOC. "Los datos personales tienen un valor elevado en el mercado negro", añaden. Estos son algunos de los motivos principales por los cuales tanto los usuarios a título individual como las empresas tienen que tener presentes precauciones como|cómo las siguientes para que los ataques informáticos que se aprovechan de la inestabilidad de este periodo no afecten a sus dispositivos y la seguridad de sus datos.
1. Hay que informarse sobre medidas de protección que se pueden tomar según cada caso. Según David Megías, director del IN3, aunque la población recibe "información sobre los riesgos y las vulnerabilidades de conectarse a internet, no tiene bastantes conocimientos sobre ciberseguridad". Hace falta tener en cuenta que no es similar el grado de riesgo de hacer un uso lúdico de un teléfono móvil al de trabajar con datos sensibles de una empresa en un ordenador de casa, especialmente si a raíz de la crisis tenemos que teletrabajar de manera intensiva. Igualmente, el confinamiento es una oportunidad óptima para aprender buenas prácticas para navegar de manera más segura. Como una de las mejores maneras de evitar riesgos es obtener información de calidad, aparte de poder resolver las dudas que nos surgen a partir de los conocimientos de personas expertas de nuestro entorno, podemos aprovechar esta época para consultar portales de organismos oficiales que facilitan información detallada en materia de ciberseguridad. Es el caso de la Oficina de Seguridad de la Internauta (OSI), adscrita a la Secretaría de Estado de Digitalización e Inteligencia Artificial del Ministerio de Asuntos Económicos y Transformación Digital, que dispone de información práctica sobre como se navega con protección. En cualquier caso, Megías confirma que "hace falta más formación práctica para los usuarios domésticos para que puedan saber qué opciones tienen para protegerse ante los riesgos".
2. Tenemos que tener contraseñas seguras. "Tenemos que tener contraseñas seguras, no sólo para acceder a nuestro correos o a aplicaciones sensibles como las bancarias, sino también para cuando las claves se establezcan por defecto, por ejemplo, en las conexiones wifi, passwords que tenemos que evitar mantener," puntualiza Helena Rifà, directora del máster interuniversitario de Seguridad de las Tecnologías de la Información y las Comunicaciones. Según la profesora e investigadora de la UOC, aunque los consejos son los habituales, tenemos que tener en cuenta que en la situación actual podemos ser más vulnerables y tenemos que minimizar los riesgos.
3. Conviene familiarizarse con algunas de las prácticas maliciosas (malware) más comunes. Es el caso del phishing o pesca, que es la suplantación de la identidad legítima de organismos o empresas para engañar a los usuarios y pedirles datos sensibles, como las de carácter personal. El objetivo de sus impulsores puede ser desde "vender bases de datos con direcciones de correo electrónico hasta conseguir datos bancarios y todo, si son capaces que los usuarios las revelen", apunta Megías. Otra práctica peligrosa comuna es el llamado ransomware o software de secuestro: los usuarios reciben un mensaje malicioso y para simplemente clicar en un enlace abren la puerta en la bajada de un programa que inutiliza el ordenador, cosa que impide a los propietarios acceder a su información. El objetivo de sus responsables es pedir un rescate económico para solucionarlo.
4. Los organismos oficiales no piden datos a los usuarios por correo electrónico. Además que el correo electrónico sólo es un canal común para campañas publicitarias masivas, "no es la vía por la cual nos solicitan nuestros datos personales", matiza el director del IN3. "Las entidades nunca nos pedirán datos por medio de un mensaje electrónico con uno sencillo respondáis aquí, ya que la información sensible no se envía nunca de esta manera", refuerza a Helena Rifà.
5. Tenemos que sospechar de los e-mails con remitentes no conocidos. "Además, no tenemos que confiar en los mensajes que tengan un remitente del cual no tenemos la seguridad que es quien afirma ser", añade Megías. Según el investigador, una de las mejores maneras de asegurarse es revisar si los dominios de las direcciones de correo son los habituales, como ahora .es en el caso de un organismo del Estado, en lugar de .com o .org. "Incluso hay direcciones maliciosas que tienen unos códigos numéricos largos en sus usuarios. A veces, si revisamos los nombres que acompañan los e-mails sospechosos no nos parecen peligrosos hasta que comprobamos cómo es la dirección real que nos contacta, con un formato alfanumérico muy extraño", puntualiza al experto.
6. Hace falta ser conscientes que, a pesar de que los filtros anti-SPAM o anti-phishing de nuestros servidores de correo funcionan lo bastante bien, a veces pueden fallar y detectar algún mensaje malicioso. "Si de cada 100.000 usuarios que reciben un mensaje malicioso, sólo un 1% cae en la trampa, ya tenemos 1.000 usuarios afectados. Tenemos que ser conscientes que este tipo de ataques se organizan pensando en un número de usuarios elevado", apunta Megías.
7. Las aplicaciones de los markets oficiales, como Google Play o Apple Store, han sido revisadas y en principio son seguras. En cambio, "si nos bajamos una aplicación fuera de un market oficial, nos exponemos a un ataque malicioso para nuestro móvil o tableta. Si no estamos seguros, no tendríamos que instalar ninguna aplicación que no sea de un escaparate oficial," confirma Megías. "A veces, la misma curiosidad con que navegamos por internet nos hace encontrar contenidos o webs con datos interesantes, como sobre la evolución del coronavirus en tiempo real. Nos indican a continuación que hay una aplicación que podemos bajar para obtener más información, la cual ingenuamente bajamos, instalamos y con la cual damos permisos adicionales a acciones maliciosas que pueden afectar de manera grave a nuestros dispositivos", ejemplariza Helena Rifà.
8. Si teletrabajamos, tenemos que tratar con cuidado los datos sensibles de nuestras empresas. Los investigadores de la UOC hacen énfasis en las organizaciones que no acostumbran a trabajar de manera remota y que en pocos días no han tenido bastante margen para implantar un plan de desarrollo del etrabajo entre su equipo, para que tenga en cuenta como se pueden reducir al mínimo posibles riesgos como los ciberataques. "Los atacantes aprovechan la falta de previsión del teletrabajo para introducir más malware a la red", opina Rifó. Adaptarse y estar preparados en poco tiempo para tomar las medidas necesarias para evitar las vulnerabilidades no es fácil. "Uno de los riesgos principales para las empresas son los datos con que trabajan los equipos. Durante estos días, los trabajadores acceden a informaciones sensibles de sus empresas desde casa con los ordenadores de sus domicilios, que en muchos casos no se ajustan a los estándares de ciberseguridad fijados por las organizaciones, como pasa con los dispositivos que utilizan en sus oficinas," apunta Megías.
9. Al trabajar desde casa, tenemos que evitar hacer copias innecesarias de datos sensibles. Según los expertos de la UOC, tenemos que ser muy cuidadosos con los datos de la actividad profesional y guardarlas de manera temporal y excepcional a los dispositivos de nuestro domicilio. Así, tenemos que evitar hacer copias de datos en dispositivos que son fuera de la red de nuestra organización o empresa, porque no disponemos de las medidas de seguridad y los protocolos que exigen las normativas que regulan el uso, como los requerimientos del Reglamento general de protección de datos. Los investigadores ponen de ejemplo sensible los datos personales y bancarios con los cuales trabajan los departamentos de recursos humanos de las empresas.
10. Difundiendo fake news ponemos en peligro nuestra ciberseguridad y del resto de usuarios. Amplificar el ruido con contenido no veraz relacionado con cuestiones de interés general como el COVID-19 no sólo perjudica a la sociedad con desinformación, sino que también puede propagar acciones maliciosas que contengan estas informaciones. "Antes de difundir según qué contenidos sensibles tenemos que estar alerta, consultar fuentes fiables y no amplificar lo que no esté contrastado", opina David Megías. Incluso, según los investigadores de la UOC, webs con nombres demasiado evidentes, que contienen el concepto coronavirus en el suyo URL, o campañas de apoyo colectivo que afloran pueden ser focos de acciones maliciosas contra la ciberseguridad. Por eso, según los expertos de la UOC, la gran norma que se tiene que seguir siempre es "desconfiar de lo que no conocemos y de aquello de que no hemos podido comprobar la autenticidad".
Sigue aquí la última hora sobre el coronavirus Covid-19 en Catalunya, España y el mundo