VALÈNCIA. Los trabajadores del Ayuntamiento de València se han vuelto a encontrar con una sorpresa en su correo electrónico. Un mensaje que les instalaba a descargar un archivo. Un simple archivo informativo. O no. Quizá no sólo informativo; quizá no inofensivo. Podría haber rastreado nuestros datos y examinado nuestro ordenador, podría haber sido un virus que inutilizara el sistema del consistorio para pedir más tarde un rescate, que robara credenciales o que facilitara una estafa posterior. Quizá por eso el correo que recibieron los empleados municipales la pasada semana era tan directo: "Es muy importante abrir el archivo".
Es la último engaño lanzado desde la concejalía de Servicio municipal de Tecnologías de la Información y Comunicación (SerTIC) para concienciar a los trabajadores consistoriales acerca de los peligros del llamado phishing. Se enmarca en la campaña de prevención del fraude que ya puso a prueba a los funcionarios con enlaces falsos, y que ahora se ha vuelto a repetir con archivos fraudulentos.
La campaña, emprendida por la concejalía que dirige el edil Pere Fuset, se inició ante el incremento de intentos de estafas informáticas en todas las instituciones tras el estallido de la pandemia de coronavirus, y especialmente especialmente tras los fraudes sufridos por organismos municipales como la EMT o el Palacio de Congresos. Sucesos que, si bien no fueron ciberataques -a priori ningún agente penetró en los sistemas informáticos-, sí revelan la importancia de trabajar en la prevención de los ataques maliciosos, en los que el error humano y la excesiva confianza son lo más común.
En esta tanda de correos electrónicos falsos enviada a los más de 5.000 funcionarios del Ayuntamiento, se les informaba -falsamente- de que en la mesa de negociación con los sindicatos se habían acabado de acordar "nuevos protocolos de higiene a tener en cuenta dentro de las instalaciones municipales" tras "las medidas de seguridad decretadas por la Generalitat Valenciana por el aumento de casos de covid".
Una artimaña bastante creíble en el contexto pospandémico en el que nos encontramos y que llevaba el membrete del Ayuntamiento de València. Así, el remitente explicaba que "en el documento adjunto se encuentran las nuevas medidas establecidas". De esta manera, los empleados, si querían conocer las medidas sanitarias a cumplir, debían descargar el archivo: "Es muy importante abrir el documento adjunto", instaba el correo en negrita al final del mensaje.
Una tentadora llamada a la acción que, si era atendida por el usuario, a este se le informaba rápidamente de la falsedad de todo. En ese momento, es cuando se advertía al funcionario en cuestión, mediante píldoras informativas y a modo de tutorial, cuáles son las consecuencias del error de no ser lo suficientemente precavido con este tipo de mensajes, que buscan que el usuario descargue tanto archivos llamados “ejecutables” como los más comunes de Word, Excel, PowerPoint, etcétera.
A juicio de Fuset, las administraciones públicas han de "ponerse las pilas en materia de ciberseguridad", especialmente en lo referente al "propio factor humano", que es, explica, "el eslabón más débil de la cadena" de seguridad. "Con esta serie de simulacros de phising queremos concienciar a miles de trabajadores municipales de los riesgos de la red, formarlos para minimizar peligros y hacerles sabedores de su imprescindible corresponsabilidad para evitar el phising", asevera el edil de Administración Electrónica. Así, Fuset insiste en que esta ha sido "una primera campaña pionera" que permitirá además "planificar refuerzos formativos sobre ciberseguridad".
Concretamente, esta remesa de envíos era la última dentro de un programa mucho mayor, que ha contado en total con tres acciones: una sobre enlaces fraudulentos y conocimiento general del phising; otra, sobre robo de credenciales: y ésta última, sobre los archivos adjuntos a correos electrónicos. El objeto no es otro que enseñar a los empleados a distinguir los correos electrónicos reales de aquellos fraudulentos.
El primer ejercicio, como publicó Valencia Plaza, consistía en el envío de correos electrónicos con apariencia de realidad y que pretendían que los usuarios accedieran a un enlace. A aquellos que pinchaban en el link se les enviaba la alerta: "Este no fue un ataque real pero podría haberlo sido". Y aquí el Ayuntamiento explicaba que la intención con esto era "la mitigación del riesgo al que puede estar expuesta la información sensible de la corporación" y conseguir así "que se establezca una cultura de seguridad dentro de la organización".
En aquel caso se enviaron 5.300 correos falsos, y un 30% de los empleados abrieron el correo electrónico. Y un 14,5%, 768 trabajadores del Ayuntamiento, acabó picando en la estafa, según datos de la propia concejalía.