Las personas como línea de ciberdefensa



A lo largo de mi vida profesional me he encontrado con los dos extremos en lo que a ciber protección se refiere. El que piensa: «a mí eso no me va a ocurrir, quién va a querer atacarme a mí» y el extremo opuesto «los ciberdelincuentes me acechan y están esperando una fisura para atacarme». Naturalmente, en el medio, como casi siempre, está la virtud.

Casi siempre es complicado saber por dónde llegará la siguiente amenaza, así que lo que hay que hacer, es estar preparado para ella. Sin volvernos locos, es importante tomar las medidas tecnológicas suficientes para protegernos: antivirus, firewall, copias de seguridad y cifrado de datos son buenas medidas para tener siempre.

Pero no hay que olvidar que detrás de la tecnología estamos las personas, que somos el eslabón débil en la seguridad… y los ciberdelincuentes son conscientes de ello

Siempre se han visto ataques ingeniosos que intentan aprovechar la denominada «ingeniería social» para vulnerar diversas barreras que dependen de la confianza: mensajes que avisan de que “El ordenador está secuestrado”, alertas de revelación de contraseñas, chantajes más o menos elaborados…

¿Cómo es posible que nos sigan engañando? Parte del problema es que la información corre como la pólvora y llega a los medios generalistas como la prensa y la televisión y eso crea en nuestro subconsciente un «miedo» que los ciberdelincuentes aprovechan para lanzar sus cebos … ¡y picamos!

Por ejemplo, en el mes de enero de 2019 se supo de una brecha de seguridad en 770 millones de cuentas de correo. También tuvo mucho impacto entre los aficionados, el acceso a cuentas y datos del juego Fortnite.

¿Qué ocurre con esta información? Es sencillo. Nos hace sentir lo fácil que es hoy en día acceder a nuestra información con los conocimientos o herramientas apropiados… y los ciberdelincuentes lo aprovechan en su beneficio.

Se nos olvida una parte, nosotros, las personas, nuestro equipo, nuestros empleados, también somos una barrera de acceso a la información.

Uno de los casos más simples y que dependen de la confianza es recibir un mensaje de correo electrónico con un chantaje. Son mensajes que dicen tener información personal comprometedora de algún tipo… Si tenemos algo que esconder, nos asustamos … si no lo tenemos… nos preocupamos… Sabemos lo que una información comprometida, cierta o no, puede hacer con nuestra reputación.

A veces, para darle mayor realismo, el correo viene firmado desde una cuenta conocida… o incluso desde nuestra propia cuenta, para simular mejor un ataque que ha comprometido la seguridad.

Ante esto hay que tener en cuenta que:

  • Es muy fácil enviar correo basura (spam). Diariamente hay miles de millones de correos masivos de este tipo, incluyendo chantajes por si alguno pica. A veces incluso pueden ir acompañados de datos personales para darles más credibilidad. Recibir esto no es señal de ninguna vulneración, aunque quizá sí de que deberíamos mejorar nuestro sistema antispam (filtro de correo no deseado).
  • Es muy fácil suplantar identidades en el envío de correos. Si dudamos de que alguien nos haya enviado un mensaje, comprobémoslo por otra vía que nos permita saber de verdad si el remitente es quien aparenta ser. Recibir mensajes de uno mismo tampoco indica que se haya vulnerado nada.
  • Es relativamente fácil enviar mensajes mencionando sitios web populares de donde se descarga software ilegal o de dudosa procedencia, películas, música o incluso sitios de contenido sexual que coincidan con los que alguna vez se hayan podido visitar. Incluso si los correos dicen “Enviamos esto porque sabemos que eres usuario de XYZ…” no tiene por qué ser cierto y tampoco indica que los atacantes conozcan nada más al respecto.
  • Si el mensaje de amenaza contiene una contraseña válida, hay que preguntarse: “¿Dónde he registrado esa contraseña?” La mejor protección en ese caso es ir a ese sitio y cambiar la contraseña por otra más segura y diferente.

En estos correos puede ocurrir que nos soliciten el pago del chantaje por no revelar esa supuesta información confidencial y nos dan una cuenta o un medio de pago.

Nuestra recomendación: Los rescates no se pagan

Si el problema es serio, si has recibido más de un mail amenazador o si crees que está realmente comprometida tu seguridad, te recomendamos que acudas al INCIBE (Instituto Nacional de Ciberseguridad en España) tanto para alertar de las notificaciones como para que te puedan dar instrucciones, a través de su línea de ayuda. Te aseguramos que es una medida mejor que enviar dinero a un desconocido en alguna parte, sin garantía de nada.

¿Cuál es la mejor arma? La información: estar al tanto de cuándo se han vulnerado cuentas que pueden ser importantes y saber cómo actuar.

Puedes comprobar, por ejemplo, si tu cuenta de correo ha sido vulnerada en la URL haveibeenpwned.com En esta dirección podrás comprobar si tu cuenta se ha vulnerado y la fecha, y cambiar la contraseña si ha sido así.

Si has tomado las medidas mínimas y sabes cómo reaccionar y en quién o qué confiar, tendrás una barrera de protección mucho más fuerte.