Los ciberataques y el Black Friday
21 noviembre, 2022Este año, el esperado Black Friday, no llegará hasta el viernes 25 de noviembre, sin embargo, las empresas ya han empezado a lanzar sus campañas y promociones conocidas como “Semanas Black”. Y este acceso de compras, sobre todo online, durante el Black Friday debe preocuparnos teniendo en cuenta el aumento de ciberataques a día de hoy. Las ciberamenazas contra empresas, gobiernos y usuarios incrementan cada vez más.
En este artículo, queremos dar mecanismos de prevención para protegernos de los ciberataques. Sin embargo, antes vamos a ver que es un ciberataque y qué tipos de ciberamenazas podemos encontrar:
¿Qué entendemos por ciberataque?
Un ciberataque es un intento de alterar, exponer, desestabilizar, eliminar y destruir con el objetivo de obtener acceso sin autorización o utilizar un activo. En otras palabras, es un conjunto de acciones contra sistemas de información con el objetivo de perjudicar a personas, empresas o instituciones.
Según la Guía de ciberataques del Instituto Nacional de Ciberseguridad (INCIBE), podemos encontrar diferentes tipos de ciberataques:
- Ataques a contraseñas: Suelen ser los más comunes y fáciles, su objetivo es conseguir la información almacenada en nuestras cuentas (datos bancarios, información de nuestros correos electrónicos o nuestra identidad mediante una red social).
- Ataques por ingeniería social: Son ataques basados en el engaño y la manipulación con el objetivo de conseguir que revelemos información personal o puedan llegar a controlar nuestros dispositivos, como por ejemplo nuestro teléfono móvil. El ataque consiste en un mensaje que imita o suplanta la identidad de una persona, organización de confianza o banco, con la intención de confundir a la víctima para que se dirija a un sitio web o complete datos en una plataforma distinta (por ejemplo, incluyendo las credenciales para acceder a una entidad bancaria). Suelen ser mensajes urgentes y atractivos para evitar aplicar el sentido común. Dependiendo del medio utilizado puede ser:
- Phishing: mediante correo electrónico, redes sociales o mensajería instantánea (ej. WhatsApp),
- Smishing: a través de SMS, o
- Vishing: con llamadas telefónicas.
Dentro de los ataques por ingeniería social, también encontramos:
- Gancho o Baiting: este ataque, conocido como “cebo”, tiene la finalidad de instalar un malware en nuestros dispositivos con el objetivo de robar nuestros datos o infectar nuestro equipo. Normalmente, se propaga con el uso de USB infectados.
- Shoulder surfing: ¿Cuántas veces hemos visto usuarios en el transporte público mirando otros dispositivos “por encima del hombro”? Esta técnica tan usual puede convertirse en un ataque en el momento que ponemos nuestras contraseñas mientras, sin darnos cuenta, nos miran los dispositivos.
- Ataques por malware: Son programas maliciosos con el objetivo de dañar un sistema informático y robar información para obtener un beneficio económico. Estos ataques pueden ser mediante virus (a través del correo electrónico, USB, aplicaciones, etc.), Adwares (softwares diseñados para mostrarnos anuncios no deseados de forma masiva), Spyware (supervisa la actividad para luego compartirlo con un usuario remoto), Troyanos (se camuflan como softwares legítimos), Backdoors (mediante el cual pueden tomar el control remoto de nuestros dispositivos), entre otros.
Actualmente, es el phishing la forma más sencilla y común de ciberataque, ya que no requiere grandes conocimientos para los ciberatacantes y ningún sistema operativo está completamente a salvo. Un claro ejemplo, es el ataque de phishing que se llevó a cabo en 2016 contra el director de la campaña de Hillary Clinton. A John Podesta se le hackeó su correo electrónico mediante un ataque de phishing que afirmaba que su contraseña se había visto comprometida.
Actualmente, los ciberataques están al orden del día y es necesario tomar las medidas adecuadas.
¿Cómo protegernos de los ciberataques?
CONTRASEÑAS: No guardes las contraseñas en notas o archivos sin cifrar ni en las webs o navegadores. No utilices contraseñas fáciles de recordar o con información personal (ej. fecha de nacimiento), ni utilices la misma contraseña para varios servicios. Además, es conveniente aplicar el factor de autenticación múltiple, siempre que el servicio lo permita, y utilizar gestores de contraseñas. Y ten cuidado al utilizar contraseñas en sitios públicos o dónde puedas ser observado por un tercero.
PHISHING, SMISHING O VISHING: Debemos leer el mensaje detenidamente, mirar quién es el remitente y comprobar que el enlace pertenece a la dirección que apunta (por ejemplo, si recibimos un mensaje de correo electrónico del banco BBVA y en enlace al que nos dirige es www.bvba.es, debemos identificar el error gramatical). No descargar ningún archivo hasta comprobar la veracidad del mensaje. Finalmente, en el caso de tratarse de un ataque por ingeniería social, recomendamos bloquear el contacto y eliminar el mensaje.
MALWARE: Mantén el antivirus actualizado. Evita descargar aplicaciones de sitios no oficiales o piratas, ni archivos sospechosos o poco fiables. Utiliza solo webs seguras con https y certificado digital y utiliza el modo incógnito cuando no quieras dejar rastro. Evita conectarte en redes públicas y buscar redes que poseen encriptación WPA (Acceso Protegido wifi).
Como usuario, debes proteger tus datos personales y tomar todas las medidas necesarias para disminuir el riesgo de ciberataques. Pero, ¿qué medidas puedes tomar como empresa?
Según un informe de Kaspersky de 2019, el 43% de los ataques digitales tienen como blanco, empresas pequeñas y sólo el 14% está preparada para enfrentarlos. Cuando una empresa sufre un ciberataque, no sólo se enfrenta a un posible bloqueo de sus sistemas y consecuentemente a una pérdida económica, sino que también puede sufrir una violación de seguridad de los datos personales.
Tal como se indica en los Considerandos 85 a 88 del Reglamento General de Protección de Datos, es responsabilidad del Responsable y Encargado la aplicación de medidas para prevenir “la pérdida de control sobre sus datos personales o restricción de sus derechos, discriminación, usurpación de identidad, pérdidas financieras, reversión no autorizada de la seudonimización, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, o cualquier otro perjuicio económico o social significativo para la persona física”.
En DATAX somos una empresa especializada en materia de protección de datos, seguridad de la información y Compliance.
Ofrecemos un servicio de consultoría integral para adecuar a su organización a todos los requisitos del Reglamento Europeo (RGPD 2016/679) relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, de obligado cumplimiento desde el 25 de mayo 2018.
Más de 18 años de experiencia en la adecuación de todo tipo de organizaciones y sectores de actividad, incluido el sector público y privado nos avalan.
Laura Morató
Consultora en Protección de Datos.