La ciberdelincuencia va en aumento desde el inicio de la pandemia: La Policía ha bloqueado este 16 de abril 46 000 dominios web sobre el coronavirus sospechosos de actividades ilícitas. En esta entrada vemos brevemente cómo los estafadores digitales están aprovechando la ocasión para lanzar software malicioso y phishing, y qué medidas de seguridad tomar.
El confinamiento para frenar la propagación de la COVID-19 ha disparado el uso de las nuevas tecnologías, tanto entre particulares como en el marco profesional, ya que un gran número de personas se han visto obligadas de la noche a la mañana a trabajar desde casa.
Ante la situación de desconcierto, los ciberdelincuentes están aprovechando para lanzar todo tipo de campañas masivas de phishing relacionadas con la pandemia, como falsas solicitudes de donativos o bulos que se difunden por las redes, hasta el punto de que los datos del Centro Criptológico Nacional constatan que los ciberataques a organizaciones y ciudadanos han aumentado un 75 % durante el periodo de reclusión.
¿Qué es el phishing y cómo consiguen que piquemos?
Los delincuentes se basan en la manipulación psicológica para obtener la información que desean sin tener que sacárnosla a la fuerza. Es decir que, en lugar de hackear una cuenta, se valen de la curiosidad, el miedo u otras reacciones basadas en la confianza para engañar a las personas y conseguir que ellas mismas faciliten su contraseña o sus datos.
Es lo que se ha dado en llamar ingeniería social o phishing (del inglés fishing o pescar): los piratas informáticos se hacen pasar por otra persona o entidad —muchas veces remitentes conocidos, organismos internacionales, administraciones públicas, etc.— y lanzan la caña —un email con un archivo engañoso o un mensaje de WhatsApp con un enlace a una página fraudulenta— con la esperanza de que una víctima muerda el anzuelo.
Estos días estamos viendo infinidad de campañas de este tipo. Además de los usuales mensajes sobre la entrega de un paquete inexistente o de los que dicen avisar de multas de la DGT, desde hace unas semanas se están multiplicando los timos relacionados con el coronavirus, como una pretendida recaudación de fondos para la OMS o para Cáritas, o aplicaciones maliciosas como un mapa que supuestamente permite seguir la evolución de la enfermedad.
El modus operandi de los ciberestafadores es muy parecido: crean anuncios o páginas falsas, pero que parecen genuinos y de total confianza, para que cliquemos en ellos y sigamos sus instrucciones. ¿Su intención? Infectar con malware nuestro dispositivo, solicitarnos datos como las credenciales bancarias o claves personales, o, más generalmente, conseguir que transfiramos una cantidad de dinero.
Ejemplos de bulos y fraudes que utilizan la COVID-19 como excusa
En el sitio de la Oficina de Seguridad del Internauta (OSI) se puede encontrar un listado actualizado de las amenazas conocidas.
Los ciberdelincuentes están sacando partido constantemente de los sucesos de actualidad, por ejemplo, pidiendo donaciones para la investigación de una vacuna que no existe. También se han identificado varios engaños en WhatsApp, donde se hace creer que Netflix está ofreciendo cuentas gratis durante la cuarentena o que varios supermercados se han unido para repartir ayudas alimentarias. En países como los Estados Unidos incluso se ha detectado un intento de suplantar a un organismo gubernamental para convencer a los usuarios de que están concediendo cupones para comida.
Sin embargo, los ciberataques no se limitan al ámbito particular. La Policía Nacional ha advertido de una campaña de phishing contra personal sanitario aprovechando la crisis del coronavirus. El ataque se distribuye por correos electrónicos con un adjunto titulado «CORONAVIRUS_COVID-19.vbs» que descarga el ransomware NetWalker, un virus que cifra los datos de las víctimas y pide un rescate económico para poder volver a acceder a la información.
Con el teletrabajo en plena marcha, también se ha detectado una campaña de envío de emails que suplantan a varias empresas, aprovechando las noticias y los cambios que se están produciendo a consecuencia de la pandemia: por ejemplo, incluyendo la palabra ERTE en los mensajes maliciosos para captar la atención.
Otro ejemplo es un envío masivo por correo electrónico en el que se suplanta a la Seguridad Social y la Inspección de Trabajo. El mensaje avisa al empleado de que la empresa está siendo investigada por no respetar la normativa del estado de alarma y proporciona un enlace para ver la supuesta denuncia, el cual redirige automáticamente a una web maliciosa.
En el contexto actual, es de esperar que incrementen las estafas que utilizan la ingeniería social, como en el llamado timo del CEO: el contable de la empresa (o un empleado con capacidad para hacer transferencias o con acceso a los datos de las cuentas) recibe un correo, supuestamente de su jefe, en el que se le pide ayuda para efectuar una transferencia urgente. En casos sofisticados, los defraudadores pueden incluso espiar previamente a estos «peces gordos» y llegar a robar las credenciales de los altos cargos para enviar el mensaje desde la cuenta de correo del mismo CEO, director o presidente.
¿Cómo evitar el phishing?
De acuerdo con el Instituto Nacional de Ciberseguridad (INCIBE), ahora, más que nunca, debemos vigilar los mensajes que recibimos y las páginas que visitamos, sobre todo cuando nos pidan compartir datos y tomar decisiones rápidamente.
Hay que tener en cuenta que con solo acceder a una página se puede entregar información personal como la dirección de email, la geolocalización o el modelo de dispositivo, entre otros datos sensibles.
Para evitar caer en estafas de este tipo, las principales recomendaciones son:
- Tomarse el tiempo que sea necesario para analizar la situación y no compartir nunca datos confidenciales como contraseñas.
- No abrir enlaces ni descargar ficheros adjuntos sin fijarse en la extensión y solo de los que provengan de fuentes seguras.
- No fiarse de un mensaje solo porque lleve un logo conocido ni confiar sin más en el nombre del remitente. Aunque proceda de un contacto conocido, si solicita información fuera de lo común, se debe comprobar.
- Comprobar la dirección URL a la cual se nos invita a acceder. ¿Es la correcta? (Puedes usar el servicio gratuito de VirusTotal para escanear la página).
- Mantener actualizado el sistema operativo, el navegador y las aplicaciones.
- Instalar, configurar y mantener actualizados filtros antispam y un buen antivirus.
- Desactivar la vista de correos en HTML en las cuentas críticas.
- Dudar de mensajes con errores gramaticales o de ortografía y de los que amenazan con cortarnos un servicio si no actualizamos nuestros datos.
- Sospechar de promociones y premios (sobre los que son «demasiado buenos para ser verdad») que llegan por servicios de mensajería y no por canales oficiales. Comprobar en los sitios oficiales de las empresas si dicha campaña existe o no.
- Hacer una búsqueda en Internet para corroborar si otras personas han compartido quejas o alertas sobre el mensaje.
Algunas medidas para paliar las consecuencias de una posible filtración a causa de phishing:
- Establecer procedimientos seguros para realizar pagos, de forma que se implique a más de una persona, por ejemplo, mediante la doble verificación.
- Poner en marcha procesos de monitorización de marca para controlar que nadie está suplantando nuestra identidad con fines ilícitos, lo cual podría dañar irremediablemente nuestra imagen. Ubilibet, la empresa asociada de Nominalia, ofrece por ejemplo un servicio de protección de marca integral que avisa si alguien quiere registrar otra extensión con nuestro nombre de dominio.
- Controlar periódicamente los movimientos de las cuentas bancarias.
Ante cualquier duda, puedes llamar al 017, la línea telefónica gratuita de ayuda en #ciberseguridad del INCIBE.