Decálogo sobre ciberseguridad durante el confinamiento, por David Lizcano

Artículo redactado por el doctor David Lizcano Casas, vicerrector de Investigación y Doctorado de la Universidad a Distancia de Madrid, UDIMA, propietaria de TodoStartups, en el que se analizan los riesgos en internet, en particular durante esta crisis del coronavirus, en el que su uso es masivo y hay riesgos de bajar la guardia.

LA CIBERSEGURIDAD DURANTE EL CONFINAMIENTO

David Lizcano

España se sitúa a la cabeza en número de ciberestafas con el coronavirus como gancho en toda Europa, según las cifras manejadas por el Ministerio del Interior. Los ciberdelincuentes no entienden de pandemias, crisis sanitarias o estados de alarma, y proliferan por doquier ataques, programas malintencionados y otros virus (virtuales esta vez, diferentes al COVID-19) que atentan contra la economía y el bienestar social, contra la privacidad de usuarios y de las empresas para las que trabajan.

Se calcula que más de 15.000 dominios registrados durante este mes de marzo emplean términos relacionados con la  crisis actual con fines malintencionados, y cada vez más y más amenazas se suman ya a la lista de ejemplos donde reina la crueldad y el oportunismo deleznable de quien pretende sacar provecho de todo este dantesco panorama.

Ejemplos como Ginp (un troyano bancario que pretende recaudar fondos de forma fraudulenta con supuestos fines sanitarios) o Netwalker (un ransomware que secuestra datos de sistemas de información hospitalarios buscando un rescate económico) deben alertarnos de esta situación, pues el confinamiento y el teletrabajo hace que toda la sociedad esté más interconectada de lo habitual. Y esta amenaza se cierne sobre cada uno de nosotros como usuarios, pero también sobre miles de empresas, donde el teletrabajo obliga a todos a cambiar rutinas, protocolos de seguridad y flujos de información.

Todo ello supone un caldo de cultivo para  que acciones maliciosas de todo tipo proliferen por la red y se cobren más y más damnificados. Evitar ser víctimas de esta situación requiere aplicar una serie de buenas prácticas, simples pero efectivas, que deberíamos tener todos en mente (y más aún si estamos realizando teletrabajo desde nuestro confinamiento):

  1. Revisa tus dispositivos domésticos y tu infraestructura de red

Es fundamental tener un sistema operativo adecuadamente actualizado. Es recomendable configurar correctamente un cortafuegos y disponer de un antimalware efectivo. Existen alternativas gratuitas muy recomendables, como por ejemplo las herramientas recogidas por la Oficina de Seguridad del Internauta (https://www.osi.es/es/herramientas). Es importante aplicar el sentido común, y no ejecutar nunca programas de dudosa procedencia, instalar software desconocido o confiar en terceros que nos parezcan sospechosos.

En cuanto a la red doméstica, dotar de una correcta seguridad a nuestra red inalámbrica es clave para evitar robos de información (personal o empresarial), accesos no permitidos a nuestros recursos en red o la simple reducción de ancho de banda. En general aquí suelo recomendar la aplicación de la “ley de la selva”: quizá no es necesario correr más que el león (el ciberdelincuente) para evitar su ataque, quizá baste con correr un poco más que el más lento de la manada (dar más seguridad a nuestra red que la que otros vecinos dan a las suyas en nuestra zona) para no ser objeto de tal ataque.

Emplear WPA2, cambiar la contraseña por defecto, el SSID (incluso ocultándolo) y vigilar las conexiones activas cada cierto tiempo (desde un PC con Windows podemos descargar y utilizar Wireless Network Watcher y desde un dispositivo con Android, la aplicación ezNetScan) suelen ser acciones suficientes en este contexto. No hay una fórmula mágica que nos permita lograr el “mercurio sófico” en seguridad, una suerte de red inexpugnable, pero aplicar estas pautas quizá desanime al agresor tras realizar ataques probatorios al azar.

Durante estos días no será posible acceder, obviamente, a wifis públicas gratuitas a las que estamos acostumbrados (en espacios públicos de toda índole que deberíamos evitar actualmente) pero en cualquier caso queda desaconsejado su uso si se diera la oportunidad de acceder a alguna de ellas, y menos durante periodos de teletrabajo o con dispositivos que pudieran disponer de cualquier información sensible.

  1. Escoge bien tus contraseñas y protégelas

De nada sirve tratar de proteger nuestra experiencia como usuarios o empleados ni nuestros sistemas si no escogemos adecuadamente las contraseñas de seguridad, y las protegemos convenientemente. Se trata de un consejo siempre habitual, pero durante esta crisis debemos incidir aún más si cabe en ello. Muchos usuarios estarán accediendo por VPN a las redes empresariales, incluso guardando contraseñas de uso profesional en dispositivos personales.

Por todo ello, es recomendable escoger una buena contraseña que no sea trivial, cambiar de contraseñas entre distintos sitios y dominios, no guardarlas en los dispositivos ni en los navegadores, jamás compartirlas o transmitirlas, borrarlas de vez en cuando de los historiales almacenados y cambiar de forma periódica las contraseñas de acceso para acotar riesgos.

  1. Extrema la precaución con datos sensibles

Es fundamental, en estos momentos donde nuestra vida personal y laboral se entrelazan a menudo de forma inexorable, ser cautelosos con la información privada en cada contexto. Lo ideal es no almacenar datos laborales en dispositivos personales, así como datos o información personal en dispositivos cedidos por las compañías que aboguen por el teletrabajo.

Cuando esta distinción no sea posible (por emplear dispositivos únicos para todo) siempre es recomendable evitar acceder a datos sensibles de ningún tipo, y en caso de hacerlo, no hacer copias de nada ni almacenar dicha información cuando no sea absolutamente imprescindible. Cifrar contenidos y acatar los recursos y consejos que cada entidad ponga a disposición de sus teletrabajadores es la mejor guía en estos casos.

  1. Mucho ojo con la nube

De nuevo la situación actual supone un contexto de explotación sin precedentes de recursos en la nube de todo tipo, tanto a nivel personal como profesional, como por ejemplo espacios de almacenamiento compartido. Lo ideal es confiar sólo en proveedores bien conocidos a los que estemos habituados, apostando sólo por aquellos que apliquen técnicas de seguridad SSL (uso de HTTPS y cifrado digital) y evitando siempre almacenar en la nube información sensible tanto a nivel personal como laboral.

Muchas empresas han prohibido de forma taxativa almacenar datos sensibles en la nube, con lo que aplicar el sentido común, la desconfianza en lo desconocido y las medidas y recursos ofrecidas desde el entorno laboral suele ser lo más razonable. Cifrar los datos almacenados, disponer de recursos alternativos con copias de seguridad robustas, escoger opciones de privacidad adecuadas y leer la letra pequeña de los términos y condiciones son sin duda otros consejos a tener en cuenta.

  1. Cuidado con las redes sociales

La ausencia de relaciones interpersonales físicas y presenciales de estos días está provocando un aumento sin precedentes en los accesos y actividad en redes sociales. A estas redes a menudo se accede desde dispositivos personales (un portátil o smartphone, por ejemplo) que tal vez en estos días cumplan también las veces de herramienta de trabajo.

En la medida de lo posible debemos evitar el uso de estos recursos para fines profesionales (uso de Facebook Messenger por ejemplo para videoconferencias profesionales) ni la interferencia de ellos durante nuestro periodo laboral, no ya sólo por motivos de productividad y organización mental, sino como medida necesaria para asegurar nuestra privacidad y la de nuestra labor cotidiana. El uso de las redes (Facebook, Twitter, Instagram, Whatshapp) está relacionado con más del 60% de las amenazas registradas de forma diaria por la Guardia Civil a través de ciberestafas@guardiacivil.org.

Los consejos son sencillos: desconfiar de remitentes desconocidos, no otorgar nunca datos sensibles y evitar descargar o instalar software de procedencia sospechosa que nos llegue por estas vías, empleándolas siempre en un contexto seguro y asociado al ámbito en el que nos desempeñemos en cada momento (ya sea personal o profesional). Este tema realmente daría mucho para hablar largo y tendido, pero en general es muy importante cuidar qué información proporcionamos al exterior, qué privacidad otorgamos a dicha información, qué permisos damos a según qué aplicaciones de terceros, y velar por tener una identidad digital adecuada y controlada.

En este sentido también es importante acotar la amplificación y difusión de contenidos digitales que nos lleguen por cualquier red social y que puedan ser fake news. Además de ser una amenaza en otros ámbitos (como el mental), suelen ser medios de difusión muy empleados en los ciberataques que se están registrando los últimos días. Evitar contagiarnos con esta desinformación (que encima puede esconder malvadas intenciones) es posible y deseable.

  1. Desconfía siempre de remitentes desconocidos

Por regla general, el INCIBE (Instituto Nacional de Ciberseguridad) nos recomienda que desconfiemos siempre de cualquier mensaje, página web, correo electrónico, enlace o solicitud de toda índole que proceda de un origen desconocido, sospechoso o simplemente inesperado. La aparición de códigos alfanuméricos en textos o direcciones de remitente, dominios dudosos, textos con letras extrañas o incluso faltas ortográficas suelen denotar que se trata de un contacto peligroso.

  1. Desconfía siempre que te pidan datos personales o sensibles

Ninguna empresa o entidad solicitará nunca datos personales vía email o similar, como parte de los protocolos de protección, recogida y gestión de datos de clientes de toda índole que rigen dichas entidades. Cualquier mensaje o intento de recabar dicha información debería considerarse fraudulenta o al menos sospechosa.

  1. Los filtros anti-spam y los antivirus sirven, pero no son infalibles

Las herramientas de ciberseguridad existentes hoy día nos garantizan cierta protección a la que nos hemos “malacostumbrado”. Muchos ciberataques no pasan de nuestra bandeja de spam o son bloqueados por nuestro software de protección, pero no podemos delegar en ellos toda nuestra seguridad y la de nuestros recursos.

Siempre hay que estar muy atento a la hora de navegar por Internet, introducir contraseñas, realizar transacciones o dar información sensible o permisos de privacidad a terceros, porque la mejora constante de las herramientas de ciberseguridad simplemente provoca la mejora y perfeccionamiento de los ataques a los que nos vemos sometidos, en una carrera tecnológica de sofisticación donde nosotros, el factor humano, siempre seremos el último y más importante eslabón.

  1. Los peligros de la compra on-line

Durante el confinamiento nos vemos obligados, ante el cierre de comercios, el cese de la actividad mercantil en muchos ámbitos y la recomendación de no salir de casa, a hacer uso de la compra on-line de forma masiva. De hecho se estima que el comercio electrónico se dispare en más de un 65% durante este periodo. Siempre es conveniente hacer uso de portales y direcciones bien conocidas, que sean de nuestra confianza y vigilen por la seguridad de los clientes.

Por ejemplo si vamos a adquirir una app siempre conviene hacerlo desde los markets oficiales. Si vamos a comprar productos vía on-line conviene recordar los consejos generales que desde la Oficina de Seguridad del Internauta se nos ofrecen en este contexto B2C, a saber: asegurarnos que las tiendas online tengan una dirección que empiece por HTTPS y muestren un candado en la barra de direcciones; revisar la información que proporciona la tienda online (quiénes son, dónde tienen domicilio fiscal, qué datos recopilan de los usuarios y con qué fin, formas de pago que permiten, política de envío y devolución, etc.); comprobar qué opiniones tienen otros usuarios sobre ella; y finalmente, en caso de dudas, descartar la compra sin dar datos personales o bancarios.

  1. Debemos saber a qué nos enfrentamos

El último consejo a tener en cuenta es habitual siempre que nos enfrentamos a cualquier amenaza, sea de la índole que sea: debemos saber a qué nos enfrentamos, para saber cómo identificar un ataque y actuar ante él. Listo a continuación el top 5 de actuaciones malintencionadas registradas en este estado de alarma, para conocer de primera mano cuáles suelen ser los ataques más comunes:

  • Phising: es una técnica por la cual el ciberdelincuente suplanta la identidad de un tercero (de confianza) para recabar de un usuario información sensible, o para que realice a su vez una acción que no debería realizar. Suele hacer uso de técnicas de engaño para explotar instintos sociales de las víctimas, tales como la solidaridad ante una crisis como la que estamos viviendo. Por ejemplo se han detectado páginas web falsas simulando ser portales de entidades bancarias dedicados a la recogida de donaciones económicas destinadas a adquirir material sanitario.
  • Vishing: es una variación del phising (voice phising), en la que interviene un locutor que nos llama al teléfono móvil o fijo. Existen ataques vinculados con el suministro de servicios primarios como el gas o la electricidad, así como llamadas de supuestos proveedores de Internet que aluden a problemas técnicos de conectividad en la zona o a revisiones técnicas necesarias en el estado de alarma para obtener datos sensibles de las víctimas.
  • Smishing: nueva variación del phising (SMS phising), donde el intento de engaño se inicia a través de un SMS o mensaje similar por red alternativa de mensajería instantánea. Hay varios registros de ataques que tratan de hacerse pasar por entidades como Cruz Roja para recabar fondos de forma fraudulenta.
  • Ransomware: se trata de un software de secuestro, que busca afectar algún recurso imprescindible para un usuario o colectivo (generalmente datos o un sistema operativo), y liberarlo sólo a través de un rescate económico. Quizá el ejemplo más cruel que hemos vivido recientemente es Netwalker, que pretende colapsar sistemas informáticos de centros médicos en plena crisis, oculto en forma de correos electrónicos de índole sanitaria relacionados con el COVID-19. Una vez colapsa el sistema atacado, solicita un rescate económico para devolver dicho sistema a la normalidad.
  • Pharming: se trata de una técnica por la cual un ciberdelincuente altera registros DNS para redirigir al navegador a una URL de su conveniencia, normalmente para engañar y suplantar la identidad web de una entidad de confianza. De nuevo varias entidades bancarias han sufrido intentos de este tipo de suplantación, aprovechando que el número de transacciones por banca online están aumentando en este periodo. Hacer uso de apps del propio proveedor de banca online, instaladas a partir de markets oficiales, puede ser una buena praxis al respecto. De hecho varias entidades como BBVA, Bankia o Santader, entre otros, están informando a sus clientes potenciales sobre cómo eludir estas amenazas.

En general lo mejor en todos los casos es redoblar nuestra atención, sospechar de lo desconocido y, en caso de duda, contactar con el servicio de vigilancia cibernética de la Guardia Civil. Además existe un portal de avisos de seguridad del INCIBE, https://www.osi.es/es/actualidad/avisos, donde se puede encontrar información actualizada de las nuevas amenazas detectadas en tiempo real. Espero que estos consejos os ayuden a reducir riesgos cibernéticos en estos duros momentos que nos ha tocado vivir, en los que el acceso a Internet es, más que nunca, una ventana al exterior tan necesaria como frágil.