Ciberataques durante la crisis de COVID-19: ¿por qué picamos?

Rawf8 / Shutterstock
por Marta Beltrán

A lo largo de la historia las crisis han sido buenos tiempos para los oportunistas. Llevado al extremo, para los timadores, estafadores y delincuentes. La crisis actual provocada por la pandemia del COVID-19 no es una excepción, y el ciberespacio está demostrando ser el nuevo campo de juego en el que este tipo de personas sin escrúpulos buscan, exclusivamente, su propio beneficio.

Casi todos hemos escuchado alguna vez el término ingeniería social. Este tipo de técnicas, muy utilizadas por los ciberdelincuentes, explotan las debilidades de las personas y de su psicología en lugar de centrarse en la explotación de vulnerabilidades tecnológicas. Los atacantes las utilizan tanto porque suelen funcionarles muy bien (les permiten conseguir sus objetivos en un tiempo razonable), suelen implicar poco riesgo para ellos y, además, suelen suponerles unos costes muy reducidos.

Los malos van de pesca

Una de las técnicas más empleadas dentro de la ingeniería social es el phishing. Este tipo de técnica intenta que mordamos el anzuelo: recibimos un correo electrónico, un mensaje por cualquier aplicación de mensajería instantánea o red social, un SMS, o una llamada telefónica. La idea es que nos parezca algo legítimo que viene de una fuente de confianza, y que realicemos una de estas tres acciones:

      1. Que proporcionemos datos o información sensible. El atacante casi siempre persigue que desvelemos una contraseña o clave de acceso, aunque también puede estar interesado en información bancaria como nuestro número de tarjeta de crédito o de cuenta, por ejemplo.
      2. Que pinchemos en un enlace. En este caso el objetivo suele ser dirigirnos a una página web controlada por el atacante. Puede ser una página que suplante a una legítima (la de nuestro banco, nuestro portal para teletrabajo, nuestro colegio o universidad, una red social) para intentar que no nos demos cuenta de esta suplantación y que interactuemos con la web como si fuera la real. Esto permite al atacante obtener datos o información sensible igualmente. El otro posible objetivo es infectarnos con algún tipo de malware en esta página web.
      3. Que descarguemos o abramos algún tipo de fichero. En este caso el objetivo suele ser de nuevo que nos infectemos con un malware.

Las campañas de phishing suelen ser además de dos tipos. El primer tipo, las campañas genéricas, van dirigidas a todo el público y juegan con la probabilidad. Si, por ejemplo, se envía un millón de correos y se sabe que alrededor de un 3 % de las personas que los reciban los abrirán y pincharán en el enlace, esto implica que los atacantes tendrán éxito 30 000 veces. Y funciona con campañas poco trabajadas en cuanto al diseño del email, la dirección del que lo envía y la redacción del mensaje.

El segundo tipo son campañas dirigidas a una persona o a un grupo de personas en concreto. En estos casos se busca que el gancho o anzuelo (el correo, el mensaje, la llamada, etc.) sea muy creíble para esa persona o personas, por lo que el atacante tiene que trabajar más para generar confianza en su víctima y que caiga en su engaño.

¿Por qué seguimos picando?

La ingeniería social se basa en seis principios fundamentales, que son los que hacen que funcione: la reciprocidad, el compromiso y la consistencia, la pertenencia al grupo, la necesidad de agradar, la obediencia a la autoridad y la escasez.

Los ciberdelincuentes están aprovechándose de que estos principios, que funcionan siempre, funcionan todavía mejor en tiempos de crisis. Es más fácil suscitar un sentimiento de urgencia en las víctimas porque están nerviosas o más sensibles, ávidas de información o de herramientas para comunicarse con los demás, preocupadas por la posible escasez de ciertos recursos, etc.

Analicemos algunos ejemplos que estamos observando estos días:

      • Se están creando multitud de campañas que, simplemente, ofrecen supuesta información sobre vacunas, tratamientos o la propia expansión del COVID-19 (con mapas y otras herramientas gráficas, por ejemplo). Al acceder a esta información, ofrecida desde dominios web maliciosos que se han creado a toda velocidad estos días o directamente en documentos adjuntos, muchas víctimas se están infectando con malware. En muchos casos, ransomware que les cifra los datos de sus dispositivos (y los descifra a cambio de un rescate) o troyanos bancarios, que les roban información sensible cuando operan con banca electrónica.
      • Lo mismo ocurre con apps que supuestamente ofrecen auto-diagnóstico, información en tiempo real sobre la pandemia, o recomendaciones de las autoridades y que en realidad están robando información de los dispositivos de las víctimas. En muchas de estas campañas, para generar confianza en las víctimas, los atacantes intentan suplantar a entidades de confianza: bancos, organismos oficiales, ONG. Incluso a la Organización Mundial de la Salud.
      • También hemos comenzado a observar campañas en las que, supuestamente, gimnasios, colegios, bancos, empresas energéticas, tiendas de comercio electrónico o empresas de mensajería, etc. ofrecen reembolsarte dinero porque en el mes de marzo no has podido disfrutar por completo de los servicios que tenías contratados con ellos. O que simplemente te ofrecen algún tipo de oferta o descuento para el mes de abril. Para disfrutar de estos beneficios te piden tus datos bancarios o te redirigen (supuestamente) a sus sistemas para que puedas realizar las gestiones oportunas.

Cuidado con nuestros datos, y los del trabajo

Hay que tener en cuenta que si todo esto es crítico cuando estamos hablando de datos y dispositivos personales, puede serlo aún más cuando a través de una víctima se compromete a una organización completa (ahora que muchos estamos teletrabajando). Que puede ser incluso un hospital o una infraestructura crítica para la población.

Por eso, al igual que estamos haciendo con el confinamiento, tenemos que ser responsables, por nosotros mismos y por los demás. Tenemos que protegernos para proteger a los que nos rodean, estar alerta y seguir todos los consejos que se están proporcionando desde organismos como el Centro Criptológico Nacional, el INCIBE o la Agencia Española de Protección de Datos. Seamos cuidadosos y apliquemos el sentido común.


Marta Beltrán, Profesora y coordinadora del Grado en Ingeniería de la Ciberseguridad, Universidad Rey Juan Carlos. Se incorporó al área de Arquitectura y Tecnología de Computadores de la Universidad Rey Juan Carlos en el año 2001. Desde ese momento sus líneas de investigación principales han sido los sistemas distribuidos y la ciberseguridad, participando como investigadora o directora en más de 15 proyectos de investigación y publicando más de 50 trabajos de investigación nacionales e internacionales. Es IEEE Senior Member desde el año 2014 y co-inventora de una patente del año 2018 en el ámbito de la gestión de identidades y accesos.

Diez consejos para protegernos ante la epidemia de ciberdelincuencia

Los ciberdelincuentes están aprovechando la crisis de COVID-19 para intentar robarnos datos sensibles o personales. Este tiempo de confinamiento facilita que pasemos más tiempo conectados a la red y nos expone más de lo habitual a sus riesgos.

Además, nuestro estado emocional (angustiados, distraídos) y el hecho que los delincuentes conozcan nuestros intereses (buscamos información relacionada con la pandemia) nos hace vulnerables a ataques de ingeniería social. Estos utilizan el engaño o la manipulación psicológica para que las víctimas den de forma voluntaria información personal y confidencial, muchas veces financiera, a sistemas no autorizados.

COVID-19, el momento para actuar

El Centro Europeo de Cibercrimen (EC3) de Europol recoge, en una de sus recientes notificaciones de inteligencia sobre el mundo digital (Cyber Bits), cómo el cibercrimen está aprovechando la crisis para intensificar sus ataques.

Las campañas diseñadas para la crisis del coronavirus incluyen la suplantación de identidad de organizaciones privadas u oficiales (phishing), el malware de todo tipo (por ejemplo, virus y troyanos), amenazas a los dispositivos móviles, amenazas persistentes avanzadas (Advanced Persistent Threats, APT), mulas de dinero, ataques al teletrabajo (por ejemplo, a través VPN falsas), fraudes, extorsiones y ataques a la protección de datos y a la privacidad, entre otras.

A continuación exponemos algunos ejemplos de ataques diseñados específicamente para la crisis de la COVID-19:

  • La aplicación para móviles Covid 19 Tracker. Distribuida a través del dominio malicioso coronavirusapp.site, supuestamente hace un seguimiento de la expansión del coronavirus. Bloquea el teléfono y lo deja totalmente inservible hasta que el usuario paga un rescate para desbloquearlo (ataque de ransomware).
  • Una estafa de phishing a través de WhatsApp que difunde una subscripción gratuita en Netflix. Para poder acceder a la subscripción, ofrecida con el pretexto de la COVID-19, los usuarios deben rellenar un formulario en una web fraudulenta con sus datos personales y financieros.
  • Otra estafa de phishing a través de un correo electrónico (supuestamente) de la OMS. Nos incita a descargar un keylogger, una aplicación que puede registrar todas las teclas pulsadas por la víctima y dar información de contraseñas y otros datos sensibles a los atacantes.

Muchas empresas de ciberseguridad han detectado un aumento considerable de los dominios registrados relacionados con el coronavius a nivel mundial. Algunos se utilizan para campañas de phishing y de descarga de malware (mas información en Domaintools.com).

Las campañas maliciosas funcionan por estadística. Sus autores saben que hay un porcentaje de usuarios, aunque sea pequeño, que caerá en la trampa. Los datos personales tienen un valor elevado en el mercado negro y tanto los usuarios a título individual como las empresas debemos tomar precauciones para que los ataques informáticos que se aprovechan de la inestabilidad de este periodo no nos afecten.

A continuación, proponemos diez consejos para afrontar la situación actual en lo referente a la seguridad nuestros dispositivos y a la información que contienen.

1. Informarnos sobre las medidas de protección

A pesar de que recibimos información sobre los riesgos de conectarse a internet, no tenemos suficientes conocimientos prácticos sobre ciberseguridad. Además, trabajar con datos sensibles de una empresa en un ordenador doméstico entraña más riesgo que el uso lúdico de un móvil.

El confinamiento es una oportunidad única para aprender buenas prácticas de navegación segura. Una de las mejores maneras de evitar riesgos es obtener información de calidad. Además de preguntar a expertos de nuestro entorno, podemos consultar portales de organismos oficiales que facilitan información detallada en materia de ciberseguridad, como la Oficina de Seguridad del Internauta (OSI) y el Instituto Nacional de Ciberseguridad (INCIBE).

En cualquier caso, hace falta más formación práctica para que los usuarios domésticos puedan saber qué opciones tienen para protegerse ante los riesgos. Es una buena idea invertir algo de nuestro tiempo en obtenerla.

2. Configurar contraseñas seguras

Tenemos que establecer contraseñas seguras y diferentes para cada servicio. Esto no sirve solo para acceder al correo o a aplicaciones sensibles como las bancarias, también se aplica a las claves que se fijan por defecto, por ejemplo, en las conexiones wifi domésticas.

A pesar de que los consejos en este sentido son los habituales, hay que tener en cuenta que en la situación actual podemos ser más vulnerables.

3. Conocer los ciberataques más comunes

Una de las amenazas más extendidas es el phishing, que pretende engañar a los usuarios y pedirles datos sensibles, como pueden ser los de carácter personal, suplantando a una entidad pública o privada de confianza.

El objetivo de los impulsores de estos ataques puede ser desde vender bases de datos con direcciones de correo electrónico hasta conseguir datos bancarios, si consiguen que los usuarios las revelen.

Otra práctica común es el ransomware. Los usuarios reciben un correo malicioso y, al pinchar en un enlace, abren la puerta a que se descargue un programa que inutiliza el ordenador, impidiendo a sus propietarios acceder a la información. El objetivo es pedir un rescate económico para desbloquear el equipo.

4. No proporcionar datos por correo electrónico

El correo electrónico es un canal común para campañas publicitarias masivas, pero no es la vía adecuada para solicitar datos personales. Las entidades nunca nos pedirán datos a través de un correo con un sencillo “responda aquí”. Las informaciones sensibles no se envían nunca de este modo.

5. Vigilar los correos con remitentes desconocidos

No hay que confiar en los correos cuya procedencia no esté clara. Una de las mejores maneras de asegurarse de ello es revisar los dominios de las direcciones de correo y comprobar si son los habituales como, por ejemplo, .es en el caso de un organismo del Estado (en lugar de .com o .org).

Hay direcciones maliciosas que contienen unos códigos largos o extraños que no se corresponden con los formatos habituales. A veces, podemos no detectar nada sospechoso si solo revisamos los nombres de los remitentes. Hasta que comprobamos cuál es la dirección real que nos contacta, que a menudo tiene esos formatos extraños que deberían hacer saltar nuestras alarmas.

6. Los filtros antispam y antiphishing pueden fallar

A pesar de que los filtros antispam y antiphishing de nuestros servidores de correo funcionan razonablemente bien, no son infalibles y pueden dejar pasar algún mensaje malicioso. Si de cada 100 000 usuarios que reciben un correo malicioso, un 1 % cae en la trampa, ya tendremos 1 000 afectados.

Este tipo de ataques se organizan pensando en llegar a un elevado número de usuarios. Ese pequeño porcentaje multiplicado por un número suficientemente grande se traducirá en decenas, centenares o quizá miles de registros de datos robados.

7. Atención a las apps de procedencia dudosa

Si nos bajamos una aplicación fuera de un market oficial (como Google Play o el Apple Store) nos exponemos a un ataque malicioso. Si no estamos seguros, no deberíamos instalar ninguna app que no sea de un escaparate oficial.

Es fácil encontrar contenidos o webs con datos interesantes, como pueden ser la evolución del coronavirus en tiempo real. A veces, esas páginas nos indican que existe una aplicación que podemos descargar para obtener más información. Si la instalamos, damos permisos adicionales para acciones maliciosas que pueden afectar a nuestros dispositivos.

8. Cuidado con los datos en el teletrabajo

Si teletrabajamos, debemos tratar con cuidado los datos sensibles de la empresa. Hay organizaciones que no están habituadas a trabajar de forma remota y que no han tenido suficiente margen para implementar un plan de desarrollo del teletrabajo. Los atacantes están aprovechando esta falta de previsión para introducir más malware en la red.

Adaptarse rápidamente para tomar las medidas necesarias para evitar las vulnerabilidades no es fácil. Uno de los principales riesgos para las empresas son los datos que manejan sus empleados. Durante estos días, los trabajadores acceden a informaciones sensibles con sus ordenadores particulares. En muchos casos, estos equipos no se ajustan a los estándares de ciberseguridad fijados por las organizaciones, que sí cumplen los dispositivos de sus oficinas.

9. Evitar hacer copias innecesarias de datos sensibles

Tenemos que ser cuidadosos con los datos de la actividad profesional y guardarlos solo de manera temporal y excepcional en los dispositivos de nuestro domicilio.

Debemos evitar realizar copias de datos en dispositivos que están fuera de la red de nuestra organización o empresa. No contamos con las medidas de seguridad y los protocolos que exigen las normativas que regulan su uso, como los requerimientos del Reglamento General de Protección de Datos.

Un ejemplo son los datos personales y bancarios con los que trabajan los departamentos de recursos humanos. Tal vez no nos quede otro remedio que guardarlos temporalmente en el ordenador para realizar los pagos de las nóminas, pero debemos suprimirlos inmediatamente después.

10. Detengamos la difusión de noticias falsas

Difundiendo fake news ponemos en peligro nuestra ciberseguridad y la del resto de usuarios. Amplificar el ruido con contenido no veraz relacionado con cuestiones de interés general como la COVID-19, no solo perjudica la sociedad con desinformación, sino que puede propagar acciones maliciosas ocultas.

Antes de difundir según qué contenidos sensibles tenemos que estar alerta, consultar fuentes fiables y no amplificar lo que no esté contrastado. Webs con nombres demasiado evidentes que incluyen el término “coronavirus” en su dirección, o algunas campañas de apoyo colectivo que están aflorando, pueden ser foco de ciberataques.

La gran norma es desconfiar de todo aquello que no conocemos ni hemos podido contrastar su autenticidad.

Esperamos que estos consejos puedan servir de ayuda para evitar que esta grave crisis sanitaria venga, además, acompañada de un crisis de ciberseguridad que afecte a nuestras infraestructuras tecnológicas y su información.


Contenido bajo Licencia Creative Commons

Sea el primero en desahogarse, comentando

Deje una respuesta

Tu dirección de correo no será publicada.


*


Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.