El año 2020 se ha caracterizado, sin ninguna duda, por los escándalos y brechas de seguridad en Internet; desgraciadamente, el año en curso parece no quedarse atrás. Era previsible que, implementándose el uso de las tecnologías para las actividades más cotidianas, los crackers aprovecharían la coyuntura para enriquecerse a través del acceso ilícito a nuestros datos.

Algunos de los ataques más sonados durante estos meses han sido, por ejemplo, el envío de emails presuntamente suscritos por entidades bancarias, instituciones públicas o por el servicio de Correos que contienen un documento no solicitado por el destinatario y/o un link (portadores o conectores del malware que infecta el dispositivo); el robo de cuentas de WhatsApp a través de la suplantación de identidad efectuada mediante el envío de un código de confirmación en el servicio; o la obtención de premios por participar en encuestas. 

Pese al innumerable conjunto de tentativas efectuadas por los piratas informáticos, llama la atención el destierro que la mayoría de los usuarios de la Red han hecho de la cultura en ciberseguridad, convertida en una suerte de quimera reservada para los ilustrados en computación. Por ello, en mi particular lid contra la comisión de delitos a través de medios digitales (emprendida a través de mi cuenta de Instagram @ldonascimentof), considero importante pautar una serie de consejos asequibles para cualquier usuario con el objetivo de salvaguardar nuestros datos “bajo llave”.

Planteémonos la siguiente pregunta: ¿Quién tiene algún dispositivo conectado a Internet? Sin acudir a estadísticas, la lógica nos lleva a pensar que la mayoría de la población española posee un móvil y un ordenador permanentemente enganchados al servicio. Partiendo de la base de que es completamente imposible estar 100% a salvo de un ciberataque, sí está al alcance de todos prevenir ser víctima de uno siempre que se tomen ciertas medidas.

En primer lugar, es necesario tener en cuenta que los correos electrónicos se han convertido en el caballo de Troya por excelencia para atacar los datos de los particulares. Como ya he apuntado, los ciberdelincuentes se escudan en la imagen de entidades de renombre (financieras, Administraciones públicas, etcétera) para transmitir al receptor del mensaje la confianza de la que éstas son beneficiarias. Existen indicios para diagnosticar el origen ilícito de estas comunicaciones: 

a) Lo primero que debemos comprobar es la dirección de correo que la ha enviado, y el asunto del email. Si prestamos atención a las comunicaciones que por esta vía nos envía, por ejemplo, nuestro banco, daremos con que la dirección desde la que se ha enviado se encuentra asociada a un dominio (ej. santander@gruposantander.es); en caso de que la dirección fuese algo como “aviso-santander-numero-11203@bellstorm.net” es probable que nos encontremos ante un intento de phishing. En lo respectivo al asunto del correo, lo normal es que el cracker introduzca una “frase gancho” (“tienes un aviso/documento importante”, “comunicación urgente”, “aviso de desahucio” son algunas de las más comunes) que ponga nervioso al remitente o que, simplemente, le haga sentir curiosidad por conocer el contenido del mensaje.

b) Es importante revisar la coherencia del mensaje y de los elementos que lo componen. En este sentido, cuando recibimos una comunicación oficial de nuestro banco lo habitual es que se dirija a nosotros por nuestro nombre, que contenga el logotipo que ha registrado como propio, así como un aviso legal sobre su contenido y los modos de contactar con ellos. En consecuencia, cuando el mensaje está dirigido a “estimado cliente” y es suscrito por una entidad y, sin embargo, contiene un logo diferente al suyo y carece de los elementos mencionados, es hora de desconfiar. Asimismo, es necesario prestar atención a las faltas de ortografía o a los espacios extraños que el mensaje pueda presentar, ya que suele ser un rasgo característico de esta forma de comisión del delito.

c) La mayoría de las tentativas de phishing contienen un aviso o amenaza a través de los que se nos informa, por ejemplo, de que hemos incumplido el contrato y que para regularizar la situación necesitan que les facilitemos nuestros datos. Para darle más credibilidad, suelen adjuntar un documento en “PDF” y/o un link al que acceder para que volvamos a cumplimentarlos. Las entidades bancarias almacenan los datos de sus clientes utilizando Big Data y guardando innumerables copias de los mismos, por lo que nunca nos van a solicitar que les facilitemos nuestro IBAN cuando han sido ellas las que lo han generado. En lo que respecta al link y al documento mencionados, se adjuntan para infectar el dispositivo donde se activen, esto es, donde se abran. En este sentido, un modo de identificar la seguridad del enlace incrustado es comprobar su prefijo; los sitios web seguros se caracterizan por ir encabezados por la fórmula “https” e ir precedidos por un candado. 

Frente a estas tentativas para captar nuestros datos, especialmente los bancarios (para lograr un enriquecimiento injusto del ciberdelincuente o de la organización para la que preste sus servicios), la prudencia nos debe encaminar a adquirir hábitos y tomar medidas para evitar tal aprehensión:

a) Realizado el análisis de los elementos desarrollados en este artículo, es de capital importancia no contestar el mensaje, no abrir el documento adjunto ni hacer click en el enlace incrustado. Si lo hacemos, es muy probable que se produzca la descarga de malware que infectará el dispositivo y accederá a toda la información almacenada en él. Si tenemos dudas sobre la autenticidad del mensaje, lo más recomendable es acceder una fuente oficial (app o banca online de nuestro banco) o, incluso, contactar telefónicamente con nuestro agente para salir de dudas.

b) Elimina el mensaje de tu bandeja de correo electrónico, independientemente de si está en la bandeja de entrada o de spam. 

c) Es relevante en este sentido mantener actualizado nuestro sistema operativo, así como el antivirus y el cliente de correo electrónico que utilicemos. En caso contrario, es más probable que virus y malware ocasionen una brecha de seguridad en el equipo.

d) Utiliza el sistema de doble autenticación (en dos pasos) en las páginas web donde introduzcas tus datos. Si bien este método funciona en la mayoría de los casos, es necesario conocer el hecho de que hay ciberdelincuentes que replican páginas web oficiales con sumo detalle, con el objetivo de engañar al usuario y que inicie sesión con los datos que utilizaría en la web oficial. Al reconocimiento de estas páginas fake es aplicable lo expuesto sobre el prefijo de la dirección web y sobre el dominio. 

Pongamos que “A” recibe un email en el que el Banco Santander (presuntamente) le informa de que su cuenta bancaria se encuentra al descubierto y le pide que inicie sesión en el enlace adjunto para regularizar la situación. “A”, sin comprobar los elementos de la comunicación, hace click en el link (que redirige a la web “bancosantander.org” en lugar de a la oficial, que es “bancosantander.es”), e introduce sus datos para iniciar sesión. En ese momento, el cracker que se encuentre tras el ataque tendrá acceso a los productos bancarios contratados por la víctima.

Al ser salvable este obstáculo por parte de los delincuentes informáticos a través de la manipulación de esta técnica de software, surgen como alternativa de seguridad las llaves de seguridad “USB” o tokens, dispositivos con apariencia de pen drives que se conectan al equipo y actúan como segundo mecanismo de seguridad tras la introducción de la contraseña. Al tratarse de dispositivos externos, se encuentran a salvo de phishing al validarlos el sistema como “puerta de seguridad” o factor final de seguridad. 

e) Enlazando con el supuesto anterior, es aconsejable revisar periódicamente los movimientos de nuestra cuenta bancaria para cerciorarnos de que todos ellos han sido autorizados por si titular o, en caso de encontrar movimientos sospechosos, proceder a emitir la orden de bloqueo correspondiente.

Con este panorama de medidas asequibles para el más profano de los usuarios, podemos establecer el primer filtro para protegernos de ciberataques. Espero, en todo caso, que este post resulte útil al lector y que se anime a proteger sus datos a través de la implantación de hábitos de seguridad en su día a día. 

_____________________________________________________________________________________________________

SOBRE EL AUTOR

Lucía Do Nascimento Fernández es alumna de 4º del Grado en Derecho URJC, del Programa de Especialización en Derecho Penal Económico del CES Cardenal Cisneros, y ganadora “ex aequo” del Premio “Legal Essay Competition” 2020 convocado por el Centro de Estudios Garrigues.

Compagina la confección de artículos de temática jurídica para diferentes medios, con la divulgación de conocimiento y curiosidades sobre Ciberseguridad y Derecho Penal en su cuenta de IG.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios .