Seguridad informática. Peligros en la red

A estas alturas a nadie se le escapa que estamos inmersos en la era de la información y las redes sociales, el correo electrónico, la navegación a través de los diferentes canales digitales, son la base del desarrollo de nuestra sociedad y nada indica que el futuro depare retrocesos en su uso e implementación. Sin embargo, como en la vida misma, las redes suponen otro medio para que ciertos individuos y organizaciones de todo tipo (no solo criminales) utilicen la red para conseguir ventaja, dirigir nuestras preferencias de consumo o, en el peor de los casos, obtener el bien más preciado para nuestra sociedad y que supone la riqueza de esta nueva era; la información, nuestra información así como a la que tenemos acceso por nuestro trabajo.

En esta entrada, pretendemos hacer una extensa enumeración y descripción de las diferentes formas de obtener dicha información, no de manera exhaustiva, puesto que día a día existe una evolución de la tecnología que, igual que beneficia a la sociedad, también ofrece más opciones a terceros para poder acceder a donde no han de hacerlo o no se les autoriza para ello. En la mayoría de los casos no tanto por su habilidad sino por nuestro descuido y relajación para protegernos debidamente.

A partir de este momento, vamos a indicar cuales son las formas más comunes de asaltar nuestra intimidad y os animamos a que investiguéis por vuestra cuenta para que podáis aprender a poner barreras y/o cambiéis vuestros hábitos con el fin de impedir que “el oro negro del siglo XXI”, nuestra información sea conocida por quienes no han de tenerla y/o carecen de legitimidad para ello.

Existen numerosos cursos, tutoriales y artículos fiables sobre seguridad informática tanto en las librerías como en la propia RED. Para los empleados de BBVA también existen cursos en la plataforma e-learning muy interesantes sobre el tema. Por nuestra parte recomendamos el denominado de SEGURIDAD INFORMÁTICA EXPRESS por su excelente desarrollo del tema y las recomendaciones que hacen para evitar la fuga de datos. Como empleados de banca hemos de tener en cuenta que es fundamental proteger la información de terceros que manejamos, pero también, con la misma importancia, proteger nuestra propia información privada.

Pero ¿cómo protegernos en Internet?. En principio con buenos programas antivirus, antimalware, antiransomware, etc. Pero también de la siguiente forma:

  • Elegir contraseñas seguras.
  • Usando la verificación en dos pasos (tras introducir la contraseña se nos envía un código de verificación que hemos de introducir para que nos dé acceso).
  • Usar redes y dispositivos abiertos con prudencia.
  • Actualizar con regularidad nuestros dispositivos y programas.
  • Evitar los recolectores de datos en internet.
  • Reconocer y denunciar a tiempo el uso y robo fraudulento de datos en internet.

 

Pero cuando todo esto falla y somos víctimas de un fraude y/o robo, qué es recomendable hacer:

  • Cambiar todas nuestras contraseñas, incluso las que no se hallan visto afectadas.
  • Comunicar el suceso a los proveedores correspondientes.
  • Bloquear las cuentas y los accesos.
  • Avisar y poner el hecho en conocimiento de amigos y conocidos, así como denunciar a las autoridades.
  • Hacer, o pedir que se haga, un chequeo del ordenador respecto a virus, troyanos o cualquier otra forma de malware.
  • Observar activamente los movimientos bancarios por un tiempo prudencial.
  • Revisar si figuramos inexplicablemente en listas de morosos de entidades como ASNEF o EQUIFAX, entre otras.

Los tipos más comunes de ataques informáticos en la actualidad y que pasamos a describir tal como vienen recogidos en Wikipedia, son los siguientes:

Phishing

Phishing es un término informático que denomina a un conjunto de técnicas que persiguen el engaño a una víctima ganándose su confianza haciéndose pasar por una persona, empresa o servicio de confianza (suplantación de identidad de tercero de confianza), para manipularla y hacer que realice acciones que no debería realizar (por ejemplo revelar información confidencial o hacer “click” en un enlace).

Spear phishing

Spear Phishing. El objetivo a engañar es una persona o empleado específico de una compañía en concreto. Para ello los cibercriminales recopilan meticulosamente información sobre la víctima para conseguir su confianza. Un correo malicioso de “spear phishing” bien elaborado (típicamente con enlace a sitio malicioso o con documento adjunto malicioso) es muy complicado de distinguir de uno legítimo, por lo que acaba siendo más fácil cazar a la presa. El “spear phishing” es una herramienta típica usada en ataques a empresas, bancos o personas influyentes y es el método de infección más utilizado en campañas de APT(siglas en ingles que significan “amenaza avanzada persistente). Los objetivos de este tipo de ataque son tanto los altos cargos con acceso a información potencial, como los departamentos cuyo trabajo consiste en abrir numerosos documentos provenientes de otras fuentes.

Vishing

Es similar al phishing tradicional pero el engaño se produce a través de una llamada telefónica. El término deriva de la unión de dos palabras en inglés: ‘’Voice’’ y ‘’phishing’’. Un ejemplo típico de uso de esta técnica es cuando un ciberdelincuente ha robado ya información confidencial a través de un ataque de “phishing”, pero necesita la clave SMS o token digital para realizar y validar una operación. Es en ese momento el ciberdelincuente llama por teléfono al cliente identificándose como personal del banco y, con mensajes particularmente alarmistas, intenta de que el cliente revele el número de su clave SMS o token digital, que son los necesarios para autorizar la transacción.

Smishing

Es similar al phishing tradicional pero el engaño se produce a través mensajes de texto ya sean por SMS o mensajería instantánea (Whatsapp). Un ejemplo típico de esta técnica e cuando el cliente recibe un mensaje de texto, donde el emisor se hace pasar por el banco, y le informan que se ha realizado una compra sospechosa con su tarjeta de crédito. A su vez, el texto solicita que se comunique con la banca por teléfono de la entidad financiera y le brinda un número falso. El cliente devuelve la llamada y es ahí cuando el ciberdelincuente, haciéndose pasar por el banco, solicita información confidencial para supuestamente cancelar la compra. En una variante de esta modalidad el mensaje también podría incluir un enlace a una ‘web’ fraudulenta para solicitar información sensible.

Spam

Los términos correo basuracorreo no solicitado y mensaje basura hacen referencia a los mensajes no solicitados, no deseados o con remitente no conocido (o incluso correo anónimo o de falso remitente), habitualmente de tipo publicitario, generalmente son enviados en grandes cantidades (incluso masivas) que perjudican de alguna o varias maneras al receptor. La acción de enviar dichos mensajes se denomina “spamming”.

Spim

Spim. Evolución del Spam que es lo mismo sólo que aplicado a los programas de mensajería instantánea. Consiste en reproducir el fenómeno del spam mediante el envío de mensajes instantáneos no solicitados. Su nombre viene de «sp» (spam) e «im» (instant messaging o mensajería instantánea).

Hoax (Bulo)

Un bulo es una falsedad articulada de manera deliberada para que sea percibida como verdad. El anglicismo hoax, con el que también es conocido, se popularizó en español al referirse a engaños masivos por medios electrónicos, especialmente Internet.

Ramsonware

Un ransomware (del inglés ransom (rescate) y ware (acortamiento) de software, o «secuestro de datos» en español, es un tipo de programa que restringe el acceso a determinadas partes o archivos del sistema operativo infectado y pide un rescate a cambio de quitar esta restricción. Algunos tipos de “ransomware” cifran los archivos del sistema operativo inutilizando el dispositivo y coaccionando al usuario a pagar el rescate. Se han propuesto algunas alternativas en español al término en inglés, como «programa de secuestro», «secuestrador», «programa de chantaje» o «chantajista».

Thrasing/ Thrasing digital

En sistemas operativos, se denomina hiperpaginación (en inglés, thrashing) a la situación en la que se utiliza una creciente cantidad de recursos para hacer una cantidad de trabajo cada vez menor. A menudo, se refiere a cuando se cargan y descargan sucesiva y constantemente partes de la imagen de un proceso desde y hacia la memoria principal y la memoria virtual o espacio de intercambio. En un estado normal, esto permite que un proceso bloqueado y no listo para correr deje lugar en memoria principal a otro proceso listo. Cuando se produce hiperpaginación, los ciclos del procesador se utilizan en llevar y traer páginas (o segmentos, según sea el caso) y el rendimiento general del sistema se degrada notablemente.

Sniffing en redes públicas

Un “sniffer” es un programa informático que registra la información que envían los periféricos, así como la actividad realizada en un determinado ordenador.

Shoulder surfin

En seguridad informática, mirar por encima del hombro (en inglés, Shoulder surfing) es una técnica de ingeniería social usada para obtener información de un usuario concreto.

Normalmente esta técnica es usada para obtener el número de seguridad personal de la víctima así como sus contraseñas y otros datos confidenciales. Para realizar esta técnica no se requiere ninguna habilidad específica, solo la agilidad y preparación que tiene la persona que lo lleva a cabo.

Existen dos formas de realizar el ataque, la primera de una forma más cercana mirando por encima del hombro al atacante intentando visualizar los datos que pretende conseguir, y la segunda de una forma más lejana utilizando prismáticos o aparatos de espionaje especializado, como cámaras espía o micrófonos.

Baiting

El Baiting consiste en un ataque informático de ingeniería social en el que el atacante presenta una oportunidad tentadora, ya sea para obtener un beneficio o por simple curiosidad, y la usa para atraer a la víctima a sufrir un ataque. Básicamente consiste en poner un cebo (bait en inglés) para atraer a la víctima hacia una trampa. Ejemplos típicos de objetivos del ataque son obtener datos personales, obtener datos bancarios o introducir un malware en una red corporativo.

RoT, Ransomware de las cosas

Un “rootkit” es un conjunto de software que permite un acceso de privilegio continuo a un ordenador pero que mantiene su presencia activamente oculta al control de los administradores al corromper el funcionamiento normal del sistema operativo o de otras aplicaciones. El término proviene de una concatenación de la palabra inglesa “root”, que significa ‘raíz’ (nombre tradicional de la cuenta privilegiada en los sistemas operativos Unix) y de la palabra inglesa kit, que significa ‘conjunto de herramientas’ (en referencia a los componentes de software que implementan este programa). Algunas versiones en español de programas informáticos, documentos de universidades y el propio ICANN lo han traducido como encubridor.

Botnets

Botnet es un término que hace referencia a un conjunto o red de robots informáticos o “bots”, que se ejecutan de manera autónoma y automática. El artífice de la “botnet” puede controlar todos los ordenadores/servidores infectados de forma remota.

Extracción de datos en imágenes

Una de las cosas que solemos obviar, aunque todo el mundo ha oído hablar de ello son los datos que una simple fotografía lleva aparejados. Estos son los denominados metadatos y son utilizados habitualmente para análisis e incorporación al BIG DATA.Y sin desdeñar la utilidad que para grandes análisis de información conlleva este tratamiento, hay expertos que están estudiando si estamos entregando nuestras vidas a esas grandes bases de datos, ya que el denominado BIG DATA, que sin ninguna duda aporta y seguirá aportando importantes avances científicos, tecnológicos y médicos, mejorando por ello la dirección en la que tengan que actuar los gobiernos. Pero esto plantea serios riesgos si se abusa de él o se utiliza de manera inadecuada por esos mismos gobiernos o personas sin escrúpulos.

Otro de los peligros del BIG DATA es que es fácilmente engañable a depender de programas automáticos (estudios numerosos lo demuestran, algunos muy preocupantes), porque cuando se sabe que conjunto de datos utilizamos para nuestra toma de decisiones, la persona u organización que maneja el BIG DATA puede inclinar la balanza a su favor (un ejemplo de muchos es que cuando se juzga a los profesores por los resultados de sus estudiantes, pueden ser más propensos a “enseñar para el examen”).

Ni siquiera Google está libre de manipulación ya que existen técnicas que se saltan los controles y supervisiones del motor de búsqueda por excelencia como son el “bombing” o “spamdexing”, con lo que pueden subvertir los resultados que muestren a los usuarios en sus búsquedas.

Aunque lo más peligroso a nuestro juicio es el peligro de la violación de nuestra privacidad. Es notorio que en los últimos años han sido robados de sitios empresariales y gubernamentales ingentes cantidades de datos. Estos, en análisis de investigación, han demostrado cómo las opiniones políticas o preferencias sexuales de las personas se pueden averiguar de manera inequívoca en fotos y/o publicaciones aparentemente inocuas, como de preferencias sobre películas, fiestas, viajes, incluso publicadas bajo los seudónimos que generalmente usamos en las redes sociales.

Cargadores en lugares públicos

¿Te sorprende que pueda existir riesgo en enchufar un USB desde tu teléfono público u ordenador personal en un cargador de un aeropuerto, estación de tren, autobús etc.?, pues deja de hacerlo sin control. Como anécdota te diremos que en la pasado cumbre del G-20, Vladimir Putin entregó a los asistentes un cable USB que contenía un troyano.

Por supuesto que estos puertos USB están colocados allí con la mejor intención y para ayudar a la ciudadanía, pero por si no lo sabías pueden ser pirateados por personas malintencionadas de manera sencilla, instalando malware que pueden trasmitirse a tu smartphone si das acceso a tu puerto de datos cuando te lo pregunta. El problema es que no todos los teléfonos móviles piden autorización para ello y, sin que lo sepas, dan el citado acceso. Un cargador público de USB no solo suministra energía sino que también transmite datos en ambas direcciones (todos sabemos que con el cable es suficiente para conectarlo a un puerto USB, el transformador para la carga que no suministra el fabricante, etc. Pues bien, con esta transmisión se pueden robar datos e incluso introducir un virus que dañe nuestro aparato. Por tanto no aceptes nunca la petición de acceso al puerto de datos y averigua previamente si tu smartphone te avisa o como activar ese aviso para evitar que de acceso automático por su cuenta.

Suplantación de tiendas online

Otro de los posibles peligros que la red puede entrañar es la última tendencia de los ciberdelincuentes, que consiste en abrir tiendas electrónicas clonadas con el nombre del usuario al que previamente han atacado y robado sus datos.

Lo que es habitual es que vendan artículos falsos como originales, con lo que queda anulada cualquier posibilidad de reclamar judicialmente ante la MARCA. Por tanto la estafa elude las consecuencias jurídicas contra los consumidores y la MARCA pierde seguridad y notoriedad. La mayor parte de las veces, la posibilidad de robo de datos se debe al mal diseño de la página original y a la no denuncia inmediata cuando se detecta el robo de los datos por parte de los ciberdelincuentes. El problema es que casi nunca se puede aclarar el delito puesto que estos grupos criminales suelen actuar desde China en su inmensa mayoría y sin dejar ningún rastro.

¿Quieres saber más?

Fuentes utilizadas para la realización de este artículo.

https://es.wikipedia.org/wiki/Wikipedia:Portada

https://www.osi.es/es/banca-electronica

https://support.microsoft.com/es-es/help/4033787/windows-protect-yourself-from-phishing

https://www.ecured.cu/Seguridad_Inform%C3%A1tica

https://www.bbva.es/finanzas-vistazo/ciberseguridad.html

Pedro Muñoz Heredia
Secretaría de Servicios Jurídicos ACB

ACB

29 abril 2020

Add Comment