Los ciberdelincuentes son muy listos y se adaptan rápido a la actualidad. Avanzan demasiado deprisa, casi tanto como la tecnología. De ahí el aumento de estafas relacionadas con la pandemia del covid y las vacunas, por ejemplo, o con el teletrabajo y las videollamadas online De hecho, durante la epidemia ha aumentado un 20% el nivel de exposición a las amenazas del cibercrimen, según el centro vasco de ciberseguridad, que el pasado año gestionó 515 incidentes.
En cambio, los ciudadanos, como usuarios de tecnología, cada vez están más expuestos a cualquier ataque, porque siguen siendo, en general, demasiado confiados y poco conscientes de las alertas que les acechan detrás de cualquier dispositivo conectado. Y es que, no sólo se producen estafas a través del teléfono móvil o del ordenador, sino también con pequeños electrodomésticos, desde una bombilla o sensor hasta un robot-aspirador. “Son aparatos pensados para que la gente los compre y los use, por eso son baratos, pero tienen muchas carencias desde el punto de vista de la seguridad, al margen de que nada es seguro al cien por cien”.
Quien así habla es Asier Martínez Retenaga, responsable del CERT del Centro Vasco de Ciberseguridad. Esto es, del servicio de prevención, detección y respuesta a incidentes relacionados con la ciberdelincuencia. Para evitar ser víctima del cibercrimen, aconseja “agudizar el sentido común y ser más críticos, saber que, si algo es demasiado bueno como para ser cierto, hay gato encerrado”. Pero no sólo los usuarios particulares, también las empresas están expuestas a abusos o extorsiones en cualquier momento, sobre todo, las más pequeñas.
“Y, ahora, con la crisis, más”, apunta Martínez. “Las grandes corporaciones sí que invierten en ciberseguridad, dedican muchos recursos, pero las pequeñas no identifican la ciberseguridad como parte de su negocio, sólo como un gasto, no consideran que sea una inversión prioritaria. En este sentido, “el nivel de madurez tiene que evolucionar mucho todavía”, piensa el responsable del equipo que da respuesta a los ciberdelitos en el centro vasco de ciberseguridad.
Los casos más habituales que llegan al centro vasco de ciberseguridad son fraudes, suplantación de personas asociadas a un empresa, robo de cuentas de redes sociales y aplicaciones de mensajería, amenazas y extorsiones. De hecho, en el top 3 “A raíz de la pandemia del coronavirus, hemos detectado casos de venta fraudulenta de vacunas, de cómo colarse en las listas saltándose los protocolos de vacunación y de llamadas a residencias de mayores para venderles almacenaje para las vacunas”, enumera Asier Martínez. Evidentemente, “esos pedidos nunca se entregan una vez que han cobrado”, añade.
En los casos de suplantación de personas es habitual usurpar la identidad de un trabajador de una empresa, normalmente CEO o miembro del departamento financiero. Los ciberdelincuentes se hacen con las contraseñas para tener acceso a la información corporativa y, a partir de ahí, inician la campaña de fraude. En definitiva, se hacen pasar por otra persona para obtener dinero.
“Si yo accedo a tu correo corporativo, puedo leer todos los mensajes y, en el momento que llega un pago, ver a quién va destinado. Entonces, le envío otro email desde la cuenta que he usurpado explicándole, por ejemplo, que ha habido un cambio y que, a partir de ahora, debe ingresar el importe de la factura en la cuenta equis”, detalla. “Nos han llegado casos de fraudes a empresa de 200.000, 400.000 y en una ocasión de hasta 500.000 euros. Y es dinero que luego no recuperan”, indica.
En otros casos, se valen de amenazas y extorsiones para obtener su beneficio económico. Por ejemplo, con la suplantación de cuentas de redes sociales, con Facebook a la cabeza de las incidencias, o de los perfiles en aplicaciones de mensajería, con WhatsApp liderando el ranking.
Sin olvidar los hackeos a importantes empresas. “También hay cibercriminales que se centran en infraestructuras básicas, como aeropuertos, sistemas de abastecimiento de aguas o redes de electricidad. Ahora, con la epidemia sanitaria, la mayor amenaza de ciberataque la padece todo lo relacionado con la sanidad”, apunta Martínez.
Por regla general, los ciberdelincuentes “no utilizan técnicas demasiado rebuscadas, más bien se aprovechan de las cuestiones que afectan a los ciudadanos en el día a día, porque lo que persiguen es engañar al mayor número posible de personas con ataques indiscriminados y masivos”. El dinero sigue siendo, a día de hoy, su mayor tesoro, lo que más buscan con sus estafas, más que información, aunque, a veces, también monetarizan la información que obtienen con sus engaños.
Su oficio también se ha profesionalizado. “Son empresas que se dedican a estafar, en muchos casos, empleados que acuden ocho horas a la oficina y llaman por teléfono haciéndose pasar por personal de Microsoft, etc. Para ellos se trata de engañar, da igual a personas mayores que a jóvenes, a cuantas más mejor. Además, trabajan de forma descentralizada, desde distintos países, por lo que es complicado dar con ellos. Se trata de toda una industria del cibercrimen”, alerta el experto. Se prevé que en 2022 haya treinta mil millones de dispositivos conectados a Internet en el mundo. Ocho de cada diez empresas vascas contemplan acciones de ciberseguridad en sus presupuestos y el 85% considera que la inversión va a ir a más en un sector con 0% de tasa de paro desde 2011 a 2019.
“La mayor parte de los ciberataques son verdadera ingeniería social, que se aprovecha de la buena voluntad de usuarios, que piensan que eso a ellos no les puede pasar”. En cambio, los indicios apuntan todo lo contrario. “Es más sencillo engañar a un ciudadano que a una gran empresa”. Por ello, el centro vasco de ciberseguridad llama a los ciudadanos a informar sobre cualquier incidencia o sospecha que detecte, ya que el BCSC trabaja codo con codo con la Ertzaintza. “No todo el mundo denuncia, en la mayoría de los casos por vergüenza a reconocer que ha sido engañado. Y hay que quitar ese miedo”, insiste el responsable del CERT.
Así que, si un usuario recibe algún mensaje fraudulento o identifica cualquier campaña maliciosa, puede ponerte en contacto con Basque Cybersecurity Centre (BCSC) a través del número de teléfono gratuito 900 104 891 o enviando un email a la dirección: incidencias@bcsc.eus.
10 consejos de ciberseguridad. Cuentas y permisos. 1. Elimina las cuentas innecesarias de todos tus dispositivos. 2. Revisa los permisos de administración. 3. Exige la utilización de contraseñas seguras. Equipos y dispositivos. 4. Activa los cortafuegos de los ordenadores y de los routers. 5. Cambia los valores de fábrica. Todos los dispositivos. 6. Desactiva la ejecución automática de los programas y aplicaciones de todos los dispositivos. 7. Elimina las aplicaciones que no utilices. ‘Antimalware’. 8. Instala herramientas ‘antimalware’ en todos los dispositivos, actualízalas cada vez que haya actualizaciones y escanea con frecuencia.
Software. 9. Actualiza siempre con las actualizaciones y parches de los fabricantes. 10. Realiza copias de seguridad, para poder recuperar la información. Y lo más importante: Forma y conciencia a todos los empleados.
Top de incidentes. Fraude (34,25%), sistemas vulnerables (23,66%) y contenido abusivo (20,78%) son los tres tipos de incidencias gestionadas en los últimos doce meses.
Ciberdelitos. La evolución en Euskadi indica un notable incremento de ciberdelitos gestionados por la Ertzaintza, de 4.274 en 2013 a 14.311 en 2019.
Dónde denunciar. En el Basque Cybersecurity Centre (BCSC) a través del número de teléfono gratuito 900 104 891 o enviando un e-mail a la dirección: incidencias@bcsc.eus
El responsable del servicio de prevención, detección y respuesta a incidencias aboga por quitar ese apuro o miedo a reconocer que te han engañado.
18%
De empresas industriales tiene planes formales de ciberseguridad. Además, el 45% tiene dispositivos conectados a Internet en su red industrial y el 13% lo desconoce.
80%
De las empresas vascas contempla realizar acciones de ciberseguridad en sus presupuestos y el 85% considera que la inversión irá a más en los próximos años.