Octubre es el Mes Europeo de la Seguridad Cibernética (#CyberSecMonth 2022), que celebra su décimo aniversario bajo el lema "Stop, Think, Connect. Cyber Security is a Shared Responsibility" ("Para, piensa, conéctate. La Ciberseguridad es una responsabilidad compartida)". Esta iniciativa forma parte de las campañas periódicas de divulgación, sensibilización y educación sobre los riesgos de un mal uso de internet lanzadas por la Agencia de Ciberseguridad Europea (ENISA), con la colaboración de los estados miembros, las instituciones y otros organismos.
En esta ocasión, la campaña coincide con el aumento de los ciberataques: cada 39 segundos hay un intento de fraude online. De hecho, el 64% de las empresas de todo el mundo ha sufrido al menos una forma de ciberataque y lo más preocupante es que el 90% de ellos son causados por errores humanos.
Banco Santander es una de las entidades que ha puesto en marcha herramientas para evitar este tipo de estafas. El objetivo es proteger e informar a sus clientes y empleados de los riesgos al hacer operaciones comerciales y compras online. Durante este mes, el banco cántabro ha desarrollado talleres de educación financiera en sus Work Café para comprobar el nivel de conocimientos financieros de los participantes. Además, ha celebrado un gran evento en la sede de Santander España, ubicada en la calle Luca de Tena de Madrid, con la participación de personas mayores, estudiantes y colectivos de distintas ONG, para conmemorar el Día de la Educación Financiera, bajo el lema Educación para unas finanzas más seguras.
Formación para evitar los riesgos
La formación es clave para evitar un mal uso de las herramientas digitales. El grupo financiero español lanzó en agosto Cyber Heroes, un curso interactivo sobre cómo protegernos de los ataques online disponible para cualquier usuario y basado en la formación impartida previamente a los 200.000 empleados del Santander en todo el mundo. "Ayudar a clientes y a la sociedad con iniciativas como Cyber Heroes es fundamental en nuestra misión como banco de apoyar a las personas y a las empresas a progresar", señala Daniel Barriuso, responsable global de ciberseguridad de la entidad.
Además, ofrece consejos para evitar ser víctimas de los distintos tipos de estafas, como phising, vishing, smishing y pharming. El phishing, cuyo origen se remonta a la década de los años noventa, trata de obtener información confidencial de terceras personas. Por ejemplo, un correo electrónico que dice ser una compañía (bancos, eléctricas, telefonía, etc) y solicita al usuario hacer clic en un enlace para acceder al área personal y confirmar los datos bancarios. Es importante dedicar unos segundos a pensar y asegurarnos antes de abrir el enlace de que no se trata de una página fraudulenta.
El Santander explica que hay tres pasos muy sencillos, pero efectivos, para comprobar que se está navegando en la página de la entidad bancaria real. Primero, comprobar la dirección web. Es habitual que las páginas falsas utilicen direcciones muy parecidas a la original, pero con alguna modificación sutil. Normalmente, se trata de guiones entre palabras o caracteres especiales que reemplazan letras. Por ejemplo, para imitar una "m" utilizan r+n ("rn"). En segundo lugar, es importante verificar que la conexión sea segura (la dirección web debe iniciarse con ‘https’). Y, por último, hay que fijarse en los detalles de la página web, como los colores, la ubicación de los botones, el tipo de letra y demás características del diseño.
En el caso del pharming , se trata de una combinación entre técnicas de phishing y una granja (farm, en inglés) de servidores para redireccionar a los usuarios a webs fraudulentas. La entidad alerta de que existen dos principales tácticas: el pharming de malware y el de alteración de DNS. La primera es una modalidad que consiste en enviar a la víctima un mensaje a través del correo electrónico, redes sociales o SMS al teléfono móvil con un enlace o archivo que contiene un código malicioso, más conocido como malware, y que infecta al dispositivo. En el pharming por alteración de DNS, el ataque del ciberdelincuente no va dirigido al navegador de un solo usuario sino al servidor DNS (sistema de nombres de dominio, por sus siglas en inglés), que es el encargado de recibir y procesar las peticiones de los diferentes dispositivos conectados a una red.
Por su parte, el smishing se realiza a través del envío de un SMS con páginas y perfiles falsos al teléfono para obtener información confidencial. Por ejemplo, un mensaje que informa de la compra con la tarjeta en una tienda que no se ha realizado. En el texto se indica que se pinche en un enlace para solucionarlo. El smishing es la variante más simple de este tipo de ataques. No obstnate, los ciberdelincuentes pueden realizar estafas más elaboradas, como el SMS Spoofing, que son más difíciles de detectar para los usuarios. En esta variante, los atacantes consiguen que los mensajes se reciban en nombre del propio banco.
Al igual que en los casos anteriores, también el vishing persigue obtener datos personales y/o bancarios de los usuarios, pero en este caso el fraude se comete a través de una llamada telefónica. El Santander advierte que, en el ámbito bancario, las técnicas más utilizadas son tres: la llamada directa, la doble llamada o la combinación de ambas técnicas. En la primera modalidad, el estafador realiza la llamada haciéndose pasar por un empleado de la entidad bancaria. Es bastante común que, antes de efectuarla, haya obtenido algún dato de la víctima. En la doble llamada, utilizando un mensaje grabado y automático, se informa a la víctima sobre un supuesto problema, como un acceso no autorizado a su aplicación de banca digital, y se indica un número de teléfono para que contacte con el fin de solucionarlo. Por último, los delincuentes pueden combinar ambas técnicas utilizando métodos adicionales para complementar el vishing. Por ejemplo, envían un mensaje de texto (smishing) para que sea el usuario quien llame a un número de teléfono que aparenta ser de la entidad bancaria.
Banco Santander recomienda tomar precauciones para protegerse de las estafas y nunca compartir nuestros datos personales o financieros, ni los códigos de seguridad. También aconseja desconfiar de los premios, ya que los timadores intentan captar la atención con promociones o condiciones demasiado atractivas y dudar de las llamadas desde números desconocidos.