«La población necesita más formación para no caer en las trampas de la ciberdelincuencia»

 «La población necesita más formación para no caer en las trampas de la ciberdelincuencia»

La foto: David Megías

29/04/2020
Rubén Permuy
«Cuando teletrabajemos, debemos evitar guardar datos sensibles en el ordenador de casa»
David Megías, director del Internet Interdisciplinary Institute (IN3) y del grupo de investigación K-riptography and Information Security for Open Networks (KISON)

 

Los ciberdelincuentes pueden aprovechar la crisis de la COVID-19 para atacar nuestros dispositivos digitales, ya que con el confinamiento pasamos más tiempo conectados a la red y nos exponemos más a sus riesgos. Una realidad que comentamos con el investigador David Megías. Ingeniero y doctor en Informática, Megías es ingeniero y doctor en Informática y completó su formación en el Departamento de Ciencia de la Ingeniería de la Universidad de Oxford. Desde el año 2001, es profesor de la UOC y actualmente es el director del Internet Interdisciplinary Institute (IN3), centro de investigación de la universidad, e investigador líder del grupo K-riptography and Information Security for Open Networks (KISON). El equipo de KISON es experto en investigar la seguridad y la privacidad de la red y de los contenidos, ámbitos que desarrolla en investigaciones nacionales e internacionales. Además, Megías forma parte de la iniciativa Uso Delictivo de la Ocultación de Información (CUIng), que coopera con el Centro Europeo de Ciberdelincuencia de la Europol (EC3).

 

¿Qué es la ciberseguridad?

Es como un gran paraguas que reúne todas las cuestiones relacionadas con la protección de los sistemas informáticos, de las comunicaciones digitales y de la información que circula.

¿La sociedad tiene suficientes conocimientos para saber cómo le afecta?

Aunque la población general reciba información sobre los riesgos y las vulnerabilidades de los sistemas conectados a internet, pienso que no tiene suficiente conciencia sobre las medidas de protección recomendables. Considero que los usuarios domésticos necesitan más formación práctica para poder saber cómo pueden protegerse de posibles riesgos.

¿Qué ejemplos de ciberataques nos podrían afectar?

Un caso son las campañas de pesca de credenciales (phishing) o de ataques masivos contra un objetivo amplio a fin de conseguir información que permita obtener algún tipo de provecho, generalmente económico. Con las acciones maliciosas de correos masivos, pueden conseguirse diferentes tipos de informaciones, como direcciones de correo electrónico o datos bancarios, que pueden usarse para otras campañas de pesca de credenciales o que pueden venderse a bases de datos. Otro caso es el software de secuestro (ransomware): por ejemplo, recibes un correo electrónico informativo sobre el coronavirus, lo abres y haces clic en un enlace o abres un archivo adjunto, tu ordenador se infecta y los ciberdelincuentes te piden un rescate para recuperar información que podías tener guardada.

¿Hasta qué punto este tipo de acciones maliciosas son efectivas?

Todos estos tipos de campañas funcionan por estadística. Sus impulsores saben que hay un cierto porcentaje de personas, aunque sea pequeño, que caerá en la trampa. Y si consiguen que estas campañas lleguen a un número de personas elevado, maximizarán el efecto del ataque y lograrán recaudar más datos o más dinero. Por ello, a raíz de la pandemia, como tenemos más personas conectadas y durante más tiempo, hay más posibilidades de éxito de este tipo de acciones maliciosas. Por ejemplo, teniendo en cuenta que la población está muy pendiente de la COVID-19, es probable que si una campaña maliciosa incluye la referencia a la enfermedad en el asunto de un correo masivo, una cantidad relevante de personas que lo reciban caigan en la trampa, ya que es una cuestión de primer nivel de interés social.

¿Qué medidas podemos tomar ante los riesgos?

Como punto de partida, debemos tener claro que hay entidades, como la Administración pública, que no se dirigen a los usuarios por correo electrónico para pedirles datos. Si recibimos un correo electrónico que tiene como emisor un organismo público y que nos pide datos personales, es probable que no sea legítimo. Debemos actuar con sensatez, pensar cuáles son las vías habituales que utilizan las organizaciones para ponerse en contacto con nosotros y desconfiar de todo lo que no parezca una fuente oficial, aunque se presente de esta forma. Debemos sospechar de cualquier correo con un remitente desconocido y estar seguros de que el remitente es quien afirma ser. Entre los indicios, podemos revisar si el dominio del correo es habitual, como por ejemplo .es. A veces, el remitente puede no parecer extraño, pero si se comprueba la dirección electrónica que acompaña el nombre, podemos confirmar que se trata de un correo fraudulento. Un indicio pueden ser las direcciones que están formadas por una larga lista de letras y números.

¿Los servidores de correo electrónico no deberían detectar bastante bien este tipo de correos y enviarlos, por ejemplo, a la habitual carpeta de correo basura?

El correo basura funciona por estadística. Los filtros antipesca (antiphishing) y anticorreo basura (antispam) de los servidores de correo funcionan bastante bien, aunque no son capaces de acertar siempre. Precisamente, los ciberdelincuentes se basan en este tipo de cuestiones. Si de cada 100.000 usuarios que reciben una campaña, pueden engañar ni que sea a un 1 % evitando estos filtros, ya disponen de un millar de víctimas potenciales. Si de estas 1.000, 100 acaban abriendo el correo electrónico y diez hacen clic en el enlace malicioso, hay un primer resultado del ataque. Es una dinámica que funciona con grandes cifras y por estadística.

¿Las aplicaciones móviles también pueden ser una fuente de peligro?

En general, las aplicaciones de los mercados web oficiales, como Google Play o Apple Store, han sido revisadas y, en principio, no tienen objetivos maliciosos. Lo que sí pueden tener son fines publicitarios legítimos. Pero si descargamos una aplicación fuera de un mercado web oficial, podemos exponernos a una infección y correr algún riesgo. La recomendación es que cuando no estemos seguros de que no corremos ningún riesgo, no instalemos ninguna aplicación que no sea de un mercado web oficial.

El confinamiento ha incrementado el teletrabajo: ¿esto puede ser un factor de riesgo para las empresas?

Puede que las empresas que no utilizan habitualmente el teletrabajo no tengan las infraestructuras protegidas y no estén suficientemente preparadas, en términos de ciberseguridad, para evitar ataques. Adaptarse en pocos días no es fácil ni suficiente para tomar las medidas necesarias para evitar la vulnerabilidad. Uno de los riesgos principales que tienen estas empresas son los datos: los trabajadores acceden desde sus domicilios y los tratan sin cumplir normativas como el Reglamento general de protección de datos. Tenemos que ser muy cuidadosos con los datos y conservarlos en nuestros dispositivos domésticos temporalmente. Como precaución, es mejor evitar hacer copias de datos en dispositivos de fuera de la empresa.

¿Qué tipo de datos de las empresas pueden ser delicados en caso de ciberataques?

Un ejemplo son los datos de los trabajadores que gestionan las áreas de recursos humanos. Estas informaciones, almacenadas en ordenadores personales que no estén suficientemente protegidos, pueden ser víctimas de programas maliciosos (malware) que las envíen a servidores remotos. El riesgo puede ser elevado y debemos ser conscientes de que en casa no disponemos de las medidas de protección de la oficina. Puede ser una realidad difícil de prever para las organizaciones, pero debemos tenerla presente y hacer recomendaciones a los trabajadores, a fin de evitar copias indiscriminadas de informaciones sensibles.

Cooperas, junto con otros expertos, con el Centro Europeo de Ciberdelincuencia de la Europol: ¿estamos experimentando un crecimiento preocupante de ciberataques?

Somos conscientes de que ha habido ataques relacionados con la crisis actual, que no tiene precedentes, pero no consideramos que haya una situación de crecimiento exponencial de la ciberdelincuencia, al menos de momento. Sí han aumentado algunos tipos de ataques concretos, especialmente la pesca de credenciales, y muchas de estas acciones utilizan la COVID-19 como cebo para atraer a sus víctimas.