El teletrabajo y el incremento del consumo diario de Internet a raíz de la crisis del coronavirus han despertado el ingenio de los ciberdelincuentes, que aprovechan el confinamiento y la exposición de los hogares españoles para hacerse con los datos bancarios de millones de clientes.
Desde principios de marzo, el Instituto Nacional de Ciberseguridad (Incibe) ha alertado de varias campañas de envío de correos electrónicos fraudulentos que suplantan tanto a empresas que ofrecen servicios esenciales como a entidades bancarias con el fin de dirigir a la víctima a una página web falsa y robar sus credenciales de acceso e información.
Esta técnica, conocida como "phising", es la más extendida, según admiten desde el sector bancario, que avisa de que los ataques, además de por correo electrónico, pueden llegar a través de un mensaje de texto e, incluso, de una llamada telefónica.
Para prevenir estas estafas electrónicas, desde las entidades han puesto en marcha "contracampañas" con consejos para sus clientes, a los que pide, en primer lugar, que nunca confíen sus datos a nadie ya que el banco jamás va a pedir las contraseñas, el número o el código de verificación de las tarjetas ni tampoco el número PIN por teléfono, "mail", mensaje de texto o redes sociales.
En caso de recibir un correo electrónico de origen dudoso, los expertos recomiendan no abrir ningún archivo adjunto ni hacer clic en enlaces web, especialmente si van dirigidos a verificar tu cuenta.
También es importante vigilar la ortografía, ya que el contenido de estos mensajes suele incluir faltas o un lenguaje extraño más propio de una máquina.
El siguiente paso es comprobar el remitente con atención, puesto que los "buenos" atacantes suelen crear direcciones y páginas con un aspecto muy similar a la oficial.
Si, en cambio, contactan con el cliente por medio de un mensaje de texto, la clave está en no hacer clic ni en el enlace ni en el número de teléfono, y en no responder.
Pero el ciberdelincuente puede optar por ir más lejos y llamar. Las entidades invitan a sospechar de todo aquel que no hable español de una manera fluida o solicite acciones no habituales que trate de verificar por otra vía alternativa. En esa situación, "no facilites datos".
Los expertos insisten en el peligro que supone acceder a enlaces o descargar archivos adjuntos no esperados que procedan de mensajes de texto, redes sociales, sistema de mensajería instantánea o correos electrónicos, puesto que pueden ir acompañados de un "ransomware", programa que "secuestra" el dispositivo del usuario con contraseña para pedir un rescate.
Con todo, si el cliente no ha seguido las recomendaciones y cree haber sido víctima de un posible fraude, deberá ponerse en contacto con su banco cuanto antes para dar cuenta de ello y evitar que el "contagio" siga.
"¿Otra comunicación del banco porque tu tarjeta se ha bloqueado? #NiCaso, el #cibercrimen está aprovechando las restricciones de movilidad durante el #EstadoDeAlarma para suplantar los servicios 'online' de entidades bancarias. #COVID19", denunciaba el pasado domingo la Guardia Civil, que ha habilitado una dirección de correo (ciberestafas@guardiacivil.org).
Asimismo, la Policía Nacional ha incrementado sus avisos a la población, a la que pide que desconfíe si recibe un mensaje de un banco diferente al propio o si su supuesta entidad pide confirmar datos importantes por mensaje de texto o correo electrónico.
No obstante, los investigadores recuerdan que, dadas las restricciones de movilidad, se ha incrementado la actividad en el comercio "online", convirtiéndolo en un caldo de cultivo para el cibercrimen, que suplanta negocios legítimos.
De ahí que haya que extremar las precauciones para una compra libre de la amenaza del "CiberCOVID19", comprobando antes el nombre de la tienda en el navegador, verificando la información en el aviso legal, buscando opiniones de otros clientes y eligiendo un método de pago seguro que evite transferencias bancarias.
Una cautela que hasta el altruismo debe respetar, como sugiere la Fundación Lealtad, que destaca que hay que informarse antes de colaborar con alguna de las múltiples iniciativas sociales que han surgido en esta emergencia sanitaria, y nunca donar a una persona o no contrastar quién está detrás del proyecto.
Ante el incremento que las compañías de ciberseguridad han detectado estas semanas de ciberataques contra empresas públicas y privadas, la división IT de Spring Professional también ha diseñado un decálogo con consejos útiles para los teletrabajadores. Estos son sus consejos:
Primero que todo, y aunque parezca obvio, es bueno utilizar siempre los equipos que la propia empresa nos ha facilitado para realizar ese trabajo en remoto (si te han dotado de un portátil, teléfono de empresa, etc.).
Debemos asegurarnos de que dichos equipos tengan antivirus y las aplicaciones actualizadas, de manera que todos nuestros equipos y aplicativos cuenten con los parches de seguridad correspondientes.
A la hora de navegar por Internet, es recomendable acceder solamente a sitios web que utilizan el protocolo HTTPS, pues la ‘s’ final nos indica que es un sitio seguro ya que ofrece tres capas de seguridad: cifrado en las comunicaciones, integridad de los datos y autentificación.
Hay que evitar utilizar redes Wi-Fi de terceros o públicas que pueden ser más vulnerables a la hora de no cumplir los protocolos y convertirse en una posible brecha para la seguridad. Siempre que sea posible, es mejor utilizar la conexión VPN para acceder a los servidores de la empresa. Esta conexión es privada, con acceso protegido y la información que se envía y a la que se accede suele estar cifrada, por lo que la
seguridad es mayor.
Se recomienda cambiar cada poco tiempo la contraseña de nuestra conexión Wi-Fi y de nuestro router para asegurar que la conexión con la que estamos trabajando sea lo más segura posible.
También se aconseja realizar copias de seguridad de manera periódica para evitar que a información se pierda, ya sea por accidente o por infecciones de ransomware (es decir, malwares que bloquean tu equipo informático o el acceso a datos de tu sistema y que para poder recuperar te exigen un pago económico por parte de los hackers, es una técnica que también se conoce como el secuestro de datos). Activar el bloqueo automático de los dispositivos y no compartir la contraseña con los demás miembros de nuestra familia es otra práctica recomendable cuando se trabaja desde casa.
Además, es muy importante extremar el cuidado con el phishing, y no acceder a enlaces provenientes de correos sospechosos. Si recibimos un archivo adjunto, se recomienda verificar la extensión del archivo (.docx, .pdf, .xlsx) y comprobar que no presente ningún patrón inusual (.exe, .vbs, .ps1, .jar…). El phishing es un tipo de ataque en el que el hacker, valiéndose habitualmente del envío de correos electrónicos o SMS provenientes de “fuentes fiables” (se pueden hacer pasar por bancos, empresas energéticas, servicios públicos…) solicitan datos personales o credenciales de carácter confidencial.
Por último, es muy útil utilizar la nube corporativa para guardar información y documentos y así evitar almacenar información sensible en dispositivos USB o personales.