La crisis del coronavirus aumenta la ciberdelincuencia

  Ordenador porttil en la oscuridad

Foto: unsplash.com @markusspiske

Los investigadores sugieren desconfiar de los remitentes de correo electrnico desconocidos

Las aplicaciones de mercados oficiales y los contenidos de organismos reconocidos son las fuentes ms seguras

El teletrabajo incrementa los riesgos por la falta de seguridad de los dispositivos que tenemos en casa

Los ciberdelincuentes pueden aprovechar la crisis de la COVID-19 para atacar nuestros ordenadores, tabletas o telfonos mviles y robarnos datos sensibles o personales. Es tiempo de confinamiento necesario y obligatorio que nos facilita pasar ms tiempo conectados a la red y nos expone ms de lo habitual a sus riesgos. David Megas y Helena Rif, investigadores expertos en ciberseguridad del Internet Interdisciplinary Institute (IN3) de la Universitat Oberta de Catalunya (UOC), nos facilitan consejos prcticos para evitar ser vctimas de actividades maliciosas en internet en plena crisis del coronavirus.

Las crisis tambin son situaciones para aprender. De hecho, en chino este concepto se compone de la suma del ideograma de peligro y del de oportunidad. Pero no siempre se saca provecho de oportunidades con buenas intenciones. La crisis presente puede ser un caldo de cultivo para que habituales acciones maliciosas que se propagan por la red se cobren ms vctimas, ya que buena parte de la sociedad est ms tiempo conectada de lo habitual. «Las campaas maliciosas funcionan por estadstica. Sus autores saben que existe un cierto nmero de usuarios, un porcentaje aunque sea pequeo, que va a caer», indican los expertos de la UOC. «Los datos personales tienen un valor elevado en el mercado negro», aaden. Estos son algunos de los principales motivos por los que tanto los usuarios a ttulo individual como las empresas deben tener presentes precauciones como las siguientes a fin de que los ataques informticos que se aprovechan de la inestabilidad de este periodo no afecten sus dispositivos y la seguridad de sus datos. 

 

  1. Hay que informarse sobre medidas de proteccin que pueden tomarse en funcin de cada caso. Segn David Megas, director del IN3, aunque la poblacin recibe «informacin sobre los riesgos y las vulnerabilidades de conectarse a internet, no cuenta con suficientes conocimientos sobre ciberseguridad». Hay que tener en cuenta que no es similar el grado de riesgo de hacer un uso ldico de un telfono mvil al de trabajar con datos sensibles de una empresa en un ordenador que tenemos en casa, especialmente si a raz de la crisis debemos teletrabajar de forma intensiva. Igualmente, el confinamiento es una ptima oportunidad para aprender buenas prcticas para navegar de forma ms segura. Como una de las mejores formas de evitar riesgos es obtener informacin de calidad, adems de poder resolver las dudas que nos surgen a partir de los conocimientos de personas expertas de nuestro entorno, podemos aprovechar esta poca para consultar portales de organismos oficiales que facilitan informacin detallada en materia de ciberseguridad. Es el caso de la Oficina de Seguridad del Internauta (OSI), adscrita a la Secretara de Estado de Digitalizacin e Inteligencia Artificial del Ministerio de Asuntos Econmicos y Transformacin Digital, que dispone de informacin prctica sobre cmo navegar con proteccin. En cualquier caso, Megas confirma que «hace falta ms formacin prctica para los usuarios domsticos a fin de que puedan conocer qu opciones tienen para protegerse frente a los riesgos».
  2. Debemos tener contraseas seguras. «Debemos contar con contraseas seguras, no solo para acceder a nuestros correos o aplicaciones sensibles como las bancarias, sino tambin para cuando las claves se establecen por defecto, por ejemplo, en las conexiones wifi, claves que debemos evitar mantener», puntualiza Helena Rif, directora del mster interuniversitario de Seguridad de las Tecnologas de la Informacin y las Comunicaciones. Segn la profesora e investigadora de la UOC, aunque los consejos son los habituales, debemos tener en cuenta que en la situacin actual podemos ser ms vulnerables y debemos minimizar los riesgos.
  3. Conviene familiarizarse con algunas de las prcticas maliciosas (malware) ms comunes. Es el caso del phishing, que es la suplantacin de la identidad legtima de organismos o empresas para engaar a los usuarios y pedirles datos sensibles, como los de carcter personal. El objetivo de sus impulsores puede ser desde «vender bases de datos con direcciones de correo electrnico hasta incluso conseguir datos bancarios, si son capaces de que los usuarios las revelen», apunta Megas. Otra prctica peligrosa comn es el llamado ransomware o software de secuestro: los usuarios reciben un mensaje malicioso y por simplemente hacer clic en un enlace abren la puerta a la descarga de un programa que inutiliza el ordenador, lo que impide a los propietarios acceder a su informacin. El objetivo de sus responsables es pedir un rescate econmico para solucionarlo.
  4. Los organismos oficiales no piden datos a los usuarios por correo electrnico. Aparte de que el correo electrnico solo es un canal comn para campaas publicitarias masivas, «no es la va por la que nos solicitan nuestros datos personales», matiza el director del IN3 e investigador. «Las entidades nunca nos pedirn datos por medio de un mensaje electrnico con un sencillo responder aqu, ya que la informacin sensible no se enva nunca de esta forma», refuerza Helena Rif.
  5. Debemos sospechar de los mensajes electrnicos cuyos remitentes no conozcamos. «Adems, no debemos confiar en los mensajes que tengan un remitente del que no tenemos la seguridad de que es quien afirma ser», aade Megas. Segn el investigador, una de las mejores maneras de asegurarse de ello es revisar si los dominios de las direcciones de correo son los habituales, tales como .es en el caso de un organismo del Estado, en lugar de .com o .org. «Incluso hay direcciones maliciosas que tienen unos cdigos numricos largos en sus usuarios. A veces, si revisamos los nombres que acompaan a las direcciones sospechosas no nos parecen peligrosas hasta que comprobamos cmo es la direccin real que nos contacta, con un formato alfanumrico muy extrao», puntualiza el experto.
  6. Hay que ser conscientes de que, aunque los filtros anti-correo basura o anti-phishing de nuestros servidores de correo funcionan bastante bien, a veces pueden fallar y no detectar algn mensaje malicioso. «Si de cada 100.000 usuarios que reciben un mensaje malicioso, solo un 1 % cae en la trampa, ya tenemos 1.000 usuarios afectados. Debemos ser conscientes de que este tipo de ataques se organizan pensando en un elevado nmero de usuarios», apunta Megas.
  7. Las aplicaciones de los mercados oficiales, como Google Play o Apple Store, han sido revisadas y en principio son seguras. En cambio, «si nos descargamos una aplicacin fuera de un mercado oficial, nos exponemos a un ataque malicioso para nuestro mvil o tableta. Si no estamos seguros, no deberamos instalar ninguna aplicacin que no sea de un escaparate oficial», confirma Megas. «A veces, la misma curiosidad con la que navegamos por internet nos hace encontrar contenidos o webs con datos interesantes, como sobre la evolucin del coronavirus en tiempo real. Nos indican a continuacin que existe una aplicacin que podemos descargar para obtener ms informacin, aplicacin que ingenuamente descargamos, instalamos y con la que damos permisos adicionales a acciones maliciosas que pueden afectar de manera grave nuestros dispositivos», ejemplifica Helena Rif.
  8. Si teletrabajamos, debemos tratar con cuidado los datos sensibles de nuestras empresas. Los investigadores de la UOC ponen nfasis en las organizaciones que no acostumbran a trabajar de forma remota y que en pocos das no han tenido suficiente margen para implantar un plan de desarrollo del e-trabajo entre su equipo, para que tenga en cuenta cmo pueden reducirse al mnimo posibles riesgos como los ciberataques. «Los atacantes aprovechan la falta de previsin del teletrabajo para introducir ms malware en la red», opina Rif. Adaptarse y estar preparados en poco tiempo para tomar las medidas necesarias a fin de evitar las vulnerabilidades no es fcil. «Uno de los principales riesgos para las empresas son los datos que manejan los equipos. Durante estos das, los trabajadores acceden a informaciones sensibles de sus empresas desde casa con los ordenadores de sus domicilios, que en muchos casos no se ajustan a los estndares de ciberseguridad fijados por las organizaciones, como ocurre con los dispositivos que usan en sus oficinas», apunta Megas.
  9. Al trabajar desde casa, tenemos que evitar hacer copias innecesarias de datos sensibles. Segn los expertos de la UOC, tenemos que ser muy cuidadosos con los datos de la actividad profesional y guardarlos de forma temporal y excepcional en los dispositivos de nuestro domicilio. As, tenemos que evitar hacer copias de datos en dispositivos que estn fuera de la red de nuestra organizacin o empresa, porque no disponemos de las medidas de seguridad y los protocolos que exigen las normativas que regulan su uso, como los requerimientos del Reglamento general de proteccin de datos. Los investigadores ponen como ejemplo sensible los datos personales y bancarios con los que trabajan los departamentos de recursos humanos de las empresas.
  10. Difundiendo noticias engaosas (fake news) ponemos en peligro nuestra ciberseguridad y la del resto de usuarios. Aumentar el ruido con contenido no veraz relacionado con cuestiones de inters general como la COVID-19 no solo perjudica a la sociedad con desinformacin, sino que tambin puede propagar acciones maliciosas que contengan estas informaciones. «Antes de difundir segn qu contenidos sensibles debemos estar alerta, consultar fuentes fiables y no amplificar lo que no est contrastado», opina David Megas. Incluso, segn los investigadores de la UOC, webs con nombres demasiado evidentes, que contienen el concepto coronavirus en su URL, o campaas de apoyo colectivo que afloran pueden ser foco de acciones maliciosas contra la ciberseguridad. Por ello, segn los expertos de la UOC, la gran norma que hay que seguir siempre es «desconfiar de lo que no conocemos y de aquello de lo que no hemos podido comprobar la autenticidad».

 

Expertos de la UOC en ciberseguridad

David Megas, adems de director del IN3, centro de investigacin de la UOC, desde 2019 es uno de los expertos de la iniciativa Uso Delictivo de la Ocultacin de Informacin (CUIng), que coopera con el Centro Europeo de Ciberdelincuencia de la Europol (EC3). Adems, es el investigador lder del grupo de investigacin K-riptography and Information Security for Open Networks (KISON), del que tambin forma parte Helena Rif, profesora de los Estudios de Informtica, Multimedia y Telecomunicacin y directora del mster interuniversitario de Seguridad de las Tecnologas de la Informacin y las Comunicaciones.

#expertosUOC

Foto del profesor David Megas Jimnez

David Megas Jimnez

Director del Internet Interdisciplinary Institute (IN3)
Profesor de los Estudios de Informtica, Multimedia y Telecomunicacin

Experto/a en: Seguridad y privacidad de la informacin y de redes. Especialmente en ocultacin de informacin (information hiding): marcaje (watermarking), esteganografa y estegoanlisis.

Ámbito de conocimiento: Seguridad y privacidad de redes y de la informacin

Ver ficha
Foto de la profesora Helena Rif Pous

Helena Rif Pous

Profesora de los Estudios de Informtica, Multimedia y Telecomunicacin
Directora del mster interuniversitario de Seguridad de las tecnologas de la informacin y la comunicacin (MISTIC)

Experto/a en: Ciberseguridad, protocolos de seguridad en redes, gestin de claves y PKI.

Ámbito de conocimiento: Telemtica, seguridad.

Ver ficha