OPINIÓ

Ciberseguridad en tiempos de la covid-19

Los ciberataques no han respetado ni infraestructuras críticas, ni servicios esenciales, ni tan siquiera hospitales de campaña

23/06/2020 - 

VALÈNCIA. La ciberseguridad era y es una de las principales preocupaciones de las empresas y entidades públicas que deciden acometer su transformación digital. Y no es para menos, especialmente a la vista del incremento constante de ciberataques que estamos sufriendo, los cuales no han dejado de crecer ni tan siquiera en la excepcional situación que estamos viviendo a nivel mundial. Desde hace tres meses vivimos en estado de alarma en el que los ciberataques no han cesado y no han respetado ni infraestructuras críticas, ni servicios esenciales, ni tan siquiera hospitales de campaña a pesar de la gravedad de la situación.

Los ciberataques, lejos de disminuir, no cesan de crecer y sus objetivos son cada vez más amplios. Las brechas de seguridad han afectado durante el año pasado a gobiernos, Administraciones Públicas, empresas y particulares. Nadie está a salvo de esta realidad. Durante 2019 se han visto comprometidos gobiernos y empresas como CapitalOne, Bulgaria, Amazon, Wetransfer, Netflix, NASA, WhatsApp, StackOverflow, Facebook, Xiamo, Toyota, Alemania, Nokia, Gearbest, Verifications IO, Rubrik, Twitter, Fornite, Amadeus o Chromecast de Google, entre otros muchos…pero también sus usuarios y clientes.

El despliegue actual de la transformación digital, acelerada y forzada por la situación actual, ha provocado que gobiernos, Administraciones Públicas, empresas y ciudadanos se relacionen y operen de manera digital de manera obligada y sin tiempo para la adecuada definición de políticas, normas y procedimientos, concienciación, formación y dotación de los recursos, medios y entornos de seguridad necesarios para ello, salvo excepciones.

Las tecnologías disponibles y, especialmente, las plataformas de comunicación y de productividad online están siendo utilizadas a nivel personal, administrativo, profesional y empresarial para continuar con nuestras actividades en esta situación excepcional. De ahí que conlleven riesgos asociados que deben identificarse y gestionarse adecuadamente, dado que se han convertido en objetivos atractivos para los ciberdelincuentes ante la posibilidad de acceder a información confidencial y estratégica, principalmente con finalidades económico-financieras; pero también de espionaje, con las que incluso algunas publicaciones relacionan a distintos gobiernos.

Principales amenazas

La Agencia Española de Protección de Datos ha publicado recientemente un comunicado sobre estos aspectos donde resalta las principales amenazas para los nuevos entornos y plataformas de productividad. Muy especialmente los intentos de acceso mediante ataques de fuerza bruta (obtener claves probando todas las combinaciones posibles hasta encontrar aquellas que permiten el acceso) e intentos de acceso a través de la reutilización de las credenciales en otros servicios de internet que han sido objeto de una brecha de seguridad. Como también la exposición de información confidencial al no diferenciar las herramientas empleadas en el entorno laboral del entorno privado del personal y, sobre todo, el robo de credenciales a través de ataques de ingeniería social como el phishing, cada vez más sofisticados, que consiguen provocar que sea el usuario el que introduzca sus credenciales corporativas en páginas fraudulentas controladas por los atacantes, suplantando la imagen de instituciones públicas, proveedores, entidades bancarias, empresas de mensajería y otros terceros.

El teletrabajo ha supuesto un incremento de los riesgos para empresas y Administraciones Públicas, especialmente en el caso del uso remoto de aplicaciones en la nube o del uso de dispositivos personales del empleado para acceder a sistemas e información de aquéllas y con finalidades corporativas, que no han sido configurados a nivel de seguridad por las mismas y que no están bajo su control, lo que puede ser un punto de entrada a los sistemas o información confidencial, sensible o estratégica de una organización.


El principal medio utilizado para realizar ataques es el correo electrónico, ya sea el corporativo o el personal, a los que los ciberdelincuentes lanzan todo tipo de acciones con la finalidad de, entre otras, introducir virus u otros archivos maliciosos en los sistemas de la empresa, facilitar enlaces a páginas falsas, suplantar la identidad del remitente, IP, correo o web (spoofing) u obtener credenciales y datos de acceso “lanzando la caña y pescando”, es decir, mediante “phishing”. No obstante, no es el único canal que se utiliza para esta técnica de ingeniería social, dado que también se utilizan otros canales como el SMS.
Probablemente si revisamos nuestros buzones de correo recibido o no deseado de las últimas semanas encontraremos algún ejemplo claro de ello: Correos supuestamente de Netflix -indicándonos que debemos actualizar o confirmar los datos de pago-, de nuestro banco -indicándonos una alerta de seguridad, una verificación de identidad o una suspensión de nuestra cuenta pendiente de activación para que pichemos y verifiquemos nuestros datos-, de Correos, Seur, MRW o cualquier otra empresa de mensajería sobre un envío, de la DGT sobre la imposición de una multa o su pago, o incluso de la Agencia Tributaria sobre un expediente abierto respecto de una factura no declarada.

Del phishing al whaling

El phishing es cada vez más sofisticado y elaborado y ha dado paso al whaling, es decir, el phishing dirigido a 'peces gordos' o altos cargos de la compañía y no a cualquier empleado. Durante el último año son varios los asuntos que han entrado en nuestra firma relacionados con esta modalidad de ataque, especialmente el denominado 'fraude del CEO', con las dificultades de persecución y reintegración que comportan en ocasiones por su dimensión internacional, ingeniería y estructura, que aprovechan los delincuentes.

Pero todo esto ha ido mucho más allá. La irrupción en nuestras vidas del coronavirus ha motivado todo tipo de ciberataques relacionados con el mismo, que siguieron la misma línea ascendente que su propagación, pero que ya han desembocado en un incremento exponencial día a día y no sólo de phishing, sino también de estafas, aplicaciones falsas o con malware (software malicioso) como troyanos o ransomware (básicamente secuestro de sistemas y datos hasta el pago de un rescate).


En materia de phishing relacionado con COVID-19, se han creado webs y campañas de marketing electrónico, incluso vía SMS, sobre información y ayudas de Administraciones Públicas para esta situación, sobre aspectos sanitarios suplantando entidades oficiales o proponiendo al destinatario su participación y colaboración en campañas de recaudación de fondos para luchar contra la pandemia. De hecho, la Policía Nacional en España lleva meses alertando de miles de páginas web relacionadas con la pandemia principalmente orientadas a obtener datos personales y bancarios de las personas, algunas incluso ofreciendo una falsa vacuna o la posibilidad de adquirir material sanitario y de protección. Asimismo, la propia Interpol  ha alertado sobre el crecimiento significativo de ataques de ransomware dirigidos a hospitales, organizaciones e infraestructuras de todo el mundo que están involucradas en la lucha contra virus en diferentes países del mundo. 

Los ciberdelincuentes están utilizando ransomware para tomar como rehenes digitales a hospitales y servicios médicos, impidiéndoles el acceso a archivos y sistemas vitales hasta que se pague un rescate. Han sido varios las campañas de phishing suplantando la imagen de la OMS (Organización Mundial de la Salud) y otras instituciones, con la finalidad de engañar a los usuarios para robarles sus datos haciéndoles creer, por ejemplo, que iban a someterse a un test rápido de la covid-19.

Concienciación ante el phishing

Del mismo modo, se ha disparado el número de aplicaciones relacionadas con el virus que ocultan software malicioso o aplicaciones falsas que copian aplicaciones oficiales sobre el virus. También antivirus ofertados para proteger los dispositivos electrónicos utilizados para trabajar en remoto cuando al descargarse convierte el dispositivo en un bot o zombie, de modo que éste queda bajo el control oculto de un segundo sistema gestionado por el atacante, que puede utilizarlo o venderlo a un tercero.

La mejor arma contra el phishing es y seguirá siendo la concienciación y la información para estar atentos ante correos sospechosos, revisar las URLs de los enlaces que recibimos, identificar y evitar acceder o abrir enlaces u opciones dudosas o descargar archivos adjuntos de remitentes desconocidos que pueden contener malware.


Ahora más que nunca es necesario concienciar e informar a todos los colectivos que conforman nuestra sociedad digital sobre estos temas, especialmente a ciudadanos y empresas, mediante iniciativas que deben ser lideradas por el gobierno y las autoridades responsables. Como también llevar todo esto al sistema educativo y en edades más tempranas para que nuestros hijos, nativos digitales, se hallen concienciados y formados de los riesgos que comporta el uso de la tecnología y estén preparados para afrontarlos, evitando así partir de la simple prohibición o control, y aplicar un medida preventiva y detectiva eficaz.

Del mismo modo, las empresas y las Administraciones Públicas deben incrementar sus esfuerzos por concienciar y formar a sus empleados e impartir instrucciones, directrices y normas sobre el uso de medios corporativos o, en su caso, personales, para la realización de sus tareas en entornos virtualizados y de teletrabajo; especialmente lo que supongan el acceso online a sistemas e información corporativa, incluyendo equipos y dispositivos, aplicaciones, información, redes o correo electrónico. 

Información confidencial

Pero el esfuerzo debe ir más allá, y si los equipos y dispositivos no son de la empresa y configurados a nivel de seguridad por la misma, deberían articularse, cuanto menos, recomendaciones básicas sobre el uso y configuración de los mismos, dado que los equipos y dispositivos personales pueden convertirse en punto de acceso a los sistemas y/o información confidencial y estratégica de la empresa.

Asimismo, empresas y Administraciones Públicas deben adoptar medidas adicionales para minimizar la probabilidad de que se materialicen las amenazas comentadas asociadas a los entornos comentados y de teletrabajo, entre otras: 

  1. Seleccionar proveedores y soluciones de confianza y con garantías.
  2. Configurar adecuadamente las opciones de seguridad y privacidad que puedan ofrecer las soluciones a utilizar.
  3. Definir con calidad las reglas de juego y establecer políticas restrictivas de acceso u uso de sistemas, herramientas y plataformas corporativas puestas a disposición del empleado para uso personal o desde dispositivos no corporativos (si es el caso), así como comunicarlas adecuadamente e impartir directrices sobre ello.
  4. Disponer de controles de acceso adecuados y usar contraseñas seguras.
  5. Adicionar segundos factores de autenticación, de modo que no sólo se acceda con usuario y contraseña sino añadir un factor más como un token o SMS.
  6. Revisar los registros de acceso e identificar accesos indebidos.
  7. Verificar las redirecciones de los buzones de correo ante posible obtención de credenciales de correo de los empleados.
  8. Concienciación y formación continuas.

José Manuel Muñoz Vela es abogado especialista en Derecho Tecnológico y Digital y director jurídico de Adequa Corporación

Noticias relacionadas