La crisi del coronavirus augmenta la ciberdelinqüència

  Ordinador portàtil en la foscor

Foto: unsplash.com @markusspiske

Els investigadors suggereixen desconfiar dels remitents de correu electrònic desconeguts

Les aplicacions de mercats oficials i els continguts d'organismes reconeguts són les fonts més segures


El teletreball incrementa els riscos per la falta de seguretat dels dispositius que tenim a casa

Els ciberdelinqüents poden aprofitar la crisi de la COVID-19 per a atacar els nostres ordinadors, tauletes o telèfons mòbils i robar-nos dades sensibles o personals. És temps de confinament necessari i obligatori que ens facilita passar més temps connectats a la xarxa i ens exposa més del que és habitual als seus riscos. David Megías i Helena Rifà, investigadors experts en ciberseguretat de l'Internet Interdisciplinary Institute (IN3) de la Universitat Oberta de Catalunya (UOC), ens faciliten consells pràctics per a evitar ser víctimes d'activitats malicioses a internet en plena crisi del coronavirus.

Les crisis també són situacions per a aprendre. De fet, en xinès aquest concepte es compon de la suma de l'ideograma de perill i del d'oportunitat. Però no sempre es treu profit d'oportunitats amb bones intencions. La crisi present pot ser un brou de cultiu perquè accions malicioses habituals que es propaguen per la xarxa provoquin més víctimes, ja que una bona part de la societat està més temps connectada del que és habitual. «Les campanyes malicioses funcionen per estadística. Els seus autors saben que hi ha un cert nombre d'usuaris, un percentatge encara que sigui petit, que hi caurà», indiquen els experts de la UOC. «Les dades personals tenen un valor elevat en el mercat negre», afegeixen. Aquests són alguns dels motius principals pels quals tant els usuaris a títol individual com les empreses han de tenir presents precaucions com les següents perquè els atacs informàtics que s'aprofiten de la inestabilitat d'aquest període no afectin els seus dispositius i la seguretat de les seves dades.  

 

  1. Cal informar-se sobre mesures de protecció que es poden prendre segons cada cas. Segons David Megías, director de l'IN3, tot i que la població rep «informació sobre els riscos i les vulnerabilitats de connectar-se a internet, no té prou coneixements sobre ciberseguretat». Cal tenir en compte que no és similar el grau de risc de fer un ús lúdic d'un telèfon mòbil al de treballar amb dades sensibles d'una empresa en un ordinador de casa, especialment si arran de la crisi hem de teletreballar de manera intensiva. Igualment, el confinament és una oportunitat òptima per a aprendre bones pràctiques per a navegar de manera més segura. Com que una de les millors maneres d'evitar riscos és obtenir informació de qualitat, a banda de poder resoldre els dubtes que ens sorgeixen a partir dels coneixements de persones expertes del nostre entorn, podem aprofitar aquesta època per a consultar portals d'organismes oficials que faciliten informació detallada en matèria de ciberseguretat. És el cas de l'Oficina de Seguretat de l'Internauta (OSI), adscrita a la Secretaria d'Estat de Digitalització i Intel·ligència Artificial del Ministeri d'Afers Econòmics i Transformació Digital, que disposa d'informació pràctica sobre com es navega amb protecció. En qualsevol cas, Megías confirma que «cal més formació pràctica per als usuaris domèstics perquè puguin saber quines opcions tenen per a protegir-se davant dels riscos».
  2. Hem de tenir contrasenyes segures. «Hem de tenir contrasenyes segures, no solament per a accedir als nostres correus o a aplicacions sensibles com les bancàries, sinó també per a quan les claus s'estableixen per defecte, per exemple, en les connexions wifi, claus que hem d'evitar mantenir», puntualitza Helena Rifà, directora del màster interuniversitari de Seguretat de les Tecnologies de la Informació i les Comunicacions. Segons la professora i investigadora de la UOC, tot i que els consells són els habituals, hem de tenir en compte que en la situació actual podem ser més vulnerables i hem de minimitzar els riscos.
  3. Convé familiaritzar-se amb algunes de les pràctiques malicioses (malware) més comunes. És el cas del phishing o pesca, que és la suplantació de la identitat legítima d'organismes o empreses per a enganyar els usuaris i demanar-los dades sensibles, com ara les de caràcter personal. L'objectiu dels seus impulsors pot ser des de «vendre bases de dades amb adreces de correu electrònic fins a aconseguir dades bancàries i tot, si són capaços que els usuaris les revelin», apunta Megías. Una altra pràctica perillosa comuna és l'anomenat ransomware o programari de segrest: els usuaris reben un missatge maliciós i per simplement fer clic en un enllaç obren la porta a la baixada d'un programa que inutilitza l'ordinador, cosa que impedeix als propietaris accedir a la seva informació. L'objectiu dels seus responsables és demanar un rescat econòmic per a solucionar-ho.
  4. Els organismes oficials no demanen dades als usuaris per correu electrònic. A més que el correu electrònic només és un canal comú per a campanyes publicitàries massives, «no és la via per la qual ens sol·liciten les nostres dades personals», matisa el director de l'IN3 i investigador. «Les entitats mai no ens demanaran dades per mitjà d'un missatge electrònic amb un senzill respongueu aquí, ja que la informació sensible no s'envia mai d'aquesta manera», reforça Helena Rifà.
  5. Hem de sospitar dels missatges electrònics els remitents dels quals no coneguem. «A més, no hem de confiar en els missatges que tinguin un remitent del qual no tenim la seguretat que és qui afirma ser», afegeix Megías. Segons l'investigador, una de les millors maneres d'assegurar-se'n és revisar si els dominis de les adreces de correu són els habituals, com ara .es en el cas d'un organisme de l'Estat, en lloc de .com o .org. «Fins i tot hi ha adreces malicioses que tenen uns codis numèrics llargs en els seus usuaris. A vegades, si revisem els noms que acompanyen les adreces sospitoses no ens semblen perilloses fins que comprovem com és l'adreça real que ens contacta, amb un format alfanumèric molt estrany», puntualitza l'expert.
  6. Cal ser conscients que, tot i que els filtres anti-correu brossa o antipesca dels nostres servidors de correu funcionen prou bé, a vegades poden fallar i no detectar algun missatge maliciós. «Si de cada 100.000 usuaris que reben un missatge maliciós, només un 1% cau en la trampa, ja tenim 1.000 usuaris afectats. Hem de ser conscients que aquest tipus d'atacs s'organitzen pensant en un nombre d'usuaris elevat», apunta Megías.
  7. Les aplicacions dels mercats oficials, com Google Play o Apple Store, han estat revisades i en principi són segures. En canvi, «si ens baixem una aplicació fora d'un mercat oficial, ens exposem a un atac maliciós per al nostre mòbil o tauleta. Si no n'estem segurs, no hauríem d'instal·lar cap aplicació que no sigui d'un aparador oficial», confirma Megías. «A vegades, la mateixa curiositat amb què naveguem per internet ens fa trobar continguts o webs amb dades interessants, com ara sobre l'evolució del coronavirus en temps real. Ens indiquen a continuació que hi ha una aplicació que podem baixar per a obtenir-ne més informació, la qual ingènuament baixem, instal·lem i amb la qual donem permisos addicionals a accions malicioses que poden afectar de manera greu els nostres dispositius», exemplifica Helena Rifà.
  8. Si teletreballem, hem de tractar amb cura les dades sensibles de les nostres empreses. Els investigadors de la UOC fan èmfasi en les organitzacions que no acostumen a treballar de manera remota i que en pocs dies no han tingut prou marge per a implantar un pla de desenvolupament de l'e-treball entre el seu equip, perquè tingui en compte com es poden reduir al mínim possibles riscos com els ciberatacs. «Els atacants aprofiten la falta de previsió del teletreball per a introduir més malware a la xarxa», opina Rifà. Adaptar-se i estar preparats en poc temps per a prendre les mesures necessàries per a evitar les vulnerabilitats no és fàcil. «Un dels riscos principals per a les empreses són les dades amb què treballen els equips. Durant aquests dies, els treballadors accedeixen a informacions sensibles de les seves empreses des de casa amb els ordinadors dels seus domicilis, que en molts casos no s'ajusten als estàndards de ciberseguretat fixats per les organitzacions, com passa amb els dispositius que fan servir a les seves oficines», apunta Megías.
  9. En treballar des de casa, hem d'evitar fer còpies innecessàries de dades sensibles. Segons els experts de la UOC, hem de ser molt curosos amb les dades de l'activitat professional i desar-les de manera temporal i excepcional als dispositius del nostre domicili. Així, hem d'evitar fer còpies de dades en dispositius que són fora de la xarxa de la nostra organització o empresa, perquè no disposem de les mesures de seguretat i els protocols que exigeixen les normatives que en regulen l'ús, com els requeriments del Reglament general de protecció de dades. Els investigadors posen d'exemple sensible les dades personals i bancàries amb les quals treballen els departaments de recursos humans de les empreses.
  10. Difonent notícies enganyoses (fake news) posem en perill la nostra ciberseguretat i de la resta d'usuaris. Amplificar el soroll amb contingut no veraç relacionat amb qüestions d'interès general com la COVID-19 no solament perjudica la societat amb desinformació, sinó que també pot propagar accions malicioses que continguin aquestes informacions. «Abans de difondre segons quins continguts sensibles hem d'estar alerta, consultar fonts fiables i no amplificar el que no estigui contrastat», opina David Megías. Fins i tot, segons els investigadors de la UOC, webs amb noms massa evidents, que contenen el concepte coronavirus al seu URL, o campanyes de suport col·lectiu que afloren poden ser focus d'accions malicioses contra la ciberseguretat. Per això, segons els experts de la UOC, la gran norma que s'ha de seguir sempre és «desconfiar del que no coneixem i d'allò de què no hem pogut comprovar l'autenticitat».

 

Experts de la UOC en ciberseguretat

David Megías, a més de director de l'IN3, centre de recerca de la UOC, des del 2019 és un dels experts de la iniciativa Ús Delictiu de l'Ocultació d'Informació (CUIng), que coopera amb el Centre Europeu de Ciberdelinqüència de l'Europol (EC3). A més, és l'investigador líder del grup de recerca K-riptography and Information Security for Open Networks (KISON), del qual també forma part Helena Rifà, professora dels Estudis d'Informàtica, Multimèdia i Telecomunicació i directora del màster interuniversitari de Seguretat de les Tecnologies de la Informació i les Comunicacions.

#expertsUOC

Foto del professor David Megías Jiménez

David Megías Jiménez

Director de l'Internet Interdisciplinary Institute (IN3)
Professor dels Estudis d'Informàtica, Multimèdia i Telecomunicació

Expert/a en: Seguretat i privadesa de la informació i de xarxes. Especialment en Information hiding: marcatge (watermarking), esteganografia i estegoanàlisi.

Àmbit de coneixement: Seguretat i privadesa de xarxes i de la informació.

Veure fitxa
Foto de la professora Helena Rifà Pous

Helena Rifà Pous

Professora dels Estudis d'Informàtica, Multimèdia i Telecomunicació
Directora del màster interuniversitari de Seguretat de les tecnologies de la informació i la comunicació (MISTIC)

Expert/a en: Ciberseguretat, protocols de seguretat en xarxes, gestió de claus, PKI.

Àmbit de coneixement: Telemàtica, seguretat.

Veure fitxa