En el mes la concienciación en ciberseguridad en Europa, recogemos las reflexiones de Alfonso Franco, CEO de All4Sec, acerca de algunas preguntas que nos hacemos a menudo y que fueron recogidas en el diario El Economista.
Vayamos directamente al grano, ¿qué es la ciberdelincuencia?
La ciberdelincuencia es algo tan sencillo y complejo como la comisión de un delito a través medios tecnológicos normalmente relacionados con Internet.
Y decimos sencillo porque en realidad, el prefijo “ciber” a la palabra “delincuencia” simplemente actúa de delimitador del entorno en el que el acto delictivo se comete, esto es, Internet. No en vano, la red de redes se ha convertido en un ámbito de relaciones sociales y económicas que actúa de terreno propicio para cualquier tipo de delito.
Sin embargo, también es complejo porque afecta a una sociedad muy digitalizada que se ve amenazada por intentos de estafa, extorsiones, robo de información o alteración del funcionamiento de equipos que gestionan o controlan servicios que pueden ser indispensables para el funcionamiento de una empresa. Delitos que, a menudo, son complejos de ejecutar y también de combatir.
Lo cierto es que este nuevo escenario, o superficie de ataque, ha captado el interés (sobre todo económico) de todo tipo de delincuentes, tanto tradicionales como nuevos ciberdelincuentes más familiarizados con el entorno tecnológico.
Los primeros, sin demasiada experiencia digital, han visto que tenían la posibilidad de llegar a sus víctimas a través de un nuevo canal recurriendo a herramientas automáticas que en muchas ocasiones contrataban como servicios (CaaS —Cybercrime as a Service). Los segundos han percibido que el canal tiene vulnerabilidades de definición o incluso de implementación de aplicaciones que pueden explotar. Todo ello ha hecho que la ciberdelincuencia haya crecido de modo exponencial en los últimos años con ratios que se han cuadriplicado solo entre 2016 y 2020.
Según los datos del IX Informe sobre la Cibercriminalidad 2021, publicado por el Ministerio del Interior, de los 305,477 delitos informáticos que se cometieron ese año el 87,4% corresponde a fraudes informáticos (estafas). ¿Cuál es en su opinión el panorama del cibercrimen en España?
No sería ni siquiera necesario fijarse en los informes oficiales para deducir cuál es crecimiento del cibercrimen en España. Un simple repaso a las noticias diarias sobre estafas, robos, alteraciones malintencionadas de datos o de sistemas, etc. nos muestran que los ciberdelitos en todo el mundo se han convertido en una situación demasiado habitual.
Más aún, podríamos incluso intuir que esto es solo la punta del iceberg y que muchos de estos delitos ni siquiera son divulgados o, peor aún, denunciados. De hecho, si tomamos el último informe sobre criminalidad de 2021 elaborado por el Ministerio de Interior de España, podremos ver que los datos que se utilizan para el análisis se circunscriben (y con rigor) a la cibercriminalidad conocida y registrada por los Cuerpos de Seguridad del Estado.
Según esos datos, los delitos registrados en 2021 alcanzaron el 15,6% del total de infracciones penales cometidas. Un porcentaje que continúa creciendo y que, según información de la Fiscalía General del Estado, en cuanto a procedimientos judicializados, crecieron en casi un 30% entre 2019 y 2020.
¿Significaría esto que la situación de la criminalidad en España ha empeorado? Lo cierto es que no deberíamos verlo definitivamente así. En realidad, asistimos a un progresivo contexto de concienciación de la sociedad en cuanto a los posibles delitos y por tanto a una mayor cooperación de empresas y particulares denunciando situaciones que antes no contemplaban o incluso peor, que ni siquiera detectaban. De ahí que aparezca ese crecimiento en los datos estadísticos del cibercrimen y que hay que analizar con cuidado.
A todos nos preocupan los fraudes financieros, ¿cuáles son las principales tendencias en amenazas relacionadas con la cibercriminalidad financiera?
El mundo financiero es quizás uno de los sectores que más sufre las amenazas que pueden ser catalogadas como ciberdelitos. Los ciberataques a entidades financieras se triplicaron solo en 2020 con seis focos de atención principal: el phishing, los ataques de ransomware, las denegaciones de servicio, los ataques a través de las cadenas de proveedores, la venta de datos en la DarkWeb y la explotación de errores en las aplicaciones financieras.
Si se observa con detenimiento, hay un tipo de ataque que suele afectar directamente a los usuarios finales y que es transversal a cualquier sector: el phishing o suplantación de la identidad.
Cuando mencionamos el phishing hablamos también de SMishing o de Vishing o de cualquier tipo de comunicación con la víctima haciéndose pasar por quien no es. Es lo que conocemos como ataques de ingeniería social, un tipo de ataque que resulta relativamente sencillo de perpetrar y que requiere de poco esfuerzo.
Por eso, las diferentes técnicas de ingeniería social son de sobra conocidas por las entidades financieras que periódicamente refuerzan sus mensajes a los clientes para que se mantengan alertas. La realidad dice que el cliente es el único eslabón de la cadena que queda fuera de su control y, por tanto, la seguridad recae en gran parte en cómo este se comporte.
Y ¿cómo podemos hacer frente a esta ciberdelincuencia y, por tanto, tener una vida digital más segura?
Se trata de un trabajo en paralelo sobre dos grandes líneas de acción: la concienciación y la utilización de tecnologías que agreguen protección al uso de los servicios en Internet.
De poco sirve disponer de un ordenador o teléfono móvil con medidas de protección bien configuradas si después el usuario se conecta a una red Wifi pública de la que no tiene ninguna garantía de seguridad o se descarga una aplicación de un lugar de dudosa reputación sin pensar en el impacto que puede tener para su seguridad.
Debemos tener en cuenta que no hay peor escenario que el de la falsa sensación de seguridad: la tecnología ayuda, pero no es infalible, de ahí la necesidad de estar concienciados.
Háganos una recomendación: ¿cuáles son los pasos para identificar el phishing en un correo electrónico o un SMS?
En muchas ocasiones los ataques de phishing parten de la confusión de la víctima entre “lo que ha recibido” y “lo que cree que ha recibido”. A menudo, esa segunda parte, la de lo que “cree que ha recibido”, se entremezcla con situaciones personales o del entorno que le “invitan a ver lo que quiere ver”.
Así, por ejemplo, en un phishing tradicional, la dirección del correo electrónico será similar a la de una entidad conocida, aunque con diferencias apenas perceptibles, o el mensaje tendrá errores ortográficos o incluso solicitará, basándose en la urgencia o la necesidad, la conexión a algún sitio o la divulgación de alguna información confidencial como el número de cuenta, la contraseña de acceso o el código de verificación de una acción.
En todos estos casos, es necesario ser cautelosos y, ante la duda, contactar con la persona u organización que solicita la información a través de otros medios contrastados y nunca respondiendo al proceso guiado que el ciberdelincuente tratará de que su víctima siga.
Así, si, por ejemplo, alguien recibe un SMS o un correo electrónico en apariencia de una entidad financiera indicando que se conecte a una dirección de internet o que responda con una información confidencial, lo que debería hacer es ponerse en contacto con el banco (utilizando los mecanismos que habitualmente utilice) y verificar la veracidad del mensaje recibido.
En concreto, ¿cómo evitaríamos el fraude OTP, que en la mayoría de los casos ocurre cuando nuestro teléfono está infectado por un malware o nos engañan para revelarlo a un estafador en una llamada, SMS o correo electrónico?
El fraude de OTP se está convirtiendo en una práctica muy extendida porque, por legislación, las entidades financieras tienen que incorporar un doble factor de autenticación para que sus usuarios realicen cualquier operación bancaria. Esta ha sido una de las exigencias que ha impuesto la nueva normativa europea PSD2 y la hemos visto desarrollarse en todas las entidades financieras cuando nos remite, por ejemplo, un código de acceso a nuestros terminales móviles.
Como mecanismo de seguridad, este código ha contribuido a reducir los problemas de suplantación de la identidad por el robo de contraseñas, añadiendo un elemento de verificación adicional, habitualmente asociado a nuestro teléfono móvil. Pero por eso mismo también, ese OTP o código de verificación se ha convertido en objeto de deseo de los ciberdelincuentes.
Así, muchos ciberdelincuentes han recurrido a lo que se conoce como el “SIM swapping” o duplicado de tarjetas SIM de la víctima para tomar el control de su línea de comunicación móvil. Otros utilizan aplicaciones infectadas con malware capaces de leer SMS o mensajes de WhatsApp.
De igual forma, los delincuentes han recurrido a métodos de engaño para obtener el OTP utilizando las mismas técnicas que emplean para obtener, por ejemplo, las contraseñas de las cuentas bancarias: el envío de mensajes ficticios.
Tanto ha sido así que últimamente utilizan las horas de descanso nocturno de las personas para que sus víctimas respondan de forma automática y somnolienta sin reflexionar sobre el origen y destino de su respuesta.
La forma de protegerse frente a este tipo de ataques parte de nuevo de la concienciación y de la debida protección de los dispositivos que se utilizan para estas transacciones.
Por último, cada vez más, los bancos advierten de que nunca pedirán los detalles de nuestra tarjeta de crédito o débito, incluida información confidencial como número de tarjeta, fecha de vencimiento de la tarjeta, CVV, OTP o contraseña de Internet, sin embargo, acabamos proporcionándola, ¿cómo deberíamos actuar?
Efectivamente, así es. La insistencia en informar es un compromiso de las entidades financieras con la concienciación de sus clientes. En la medida en que seamos conscientes de qué información solo debemos conocer nosotros y qué información podemos compartir, estaremos mejorando nuestra propia seguridad.
Por eso, si en cualquier circunstancia se tiene dudas de si cierta información debe ser proporcionada a alguien que dice ser nuestro banco, lo mejor es contactar directamente con la entidad y aclarar la petición.
