Cuando hablamos de medidas de seguridad digital, la mayoría de las veces nos centramos en las de carácter técnico: antivirus, firewall, copias de seguridad, etc…
Sin embargo, el eslabón más débil de la ciberseguridad es el factor humano y está demostrado que muchos de los ataques consiguen su objetivo gracias a la colaboración humana, bien sea por desconocimiento, negligencia o intencionadamente.
De hecho, el estudio Cyber Security Intelligence Index de IBM, asegura que el 95% de los ataques o incidentes en materia de ciberseguridad se debe a fallos humanos. Y sí, la segunda causa radica en la vulnerabilidad de los sistemas.
Digamos que la puerta de entrada del atacante es el fallo humano, pero su éxito final se produce porque existen vulnerabilidades en los sistemas que facilitan el ciberataque.
En este sentido, la seguridad digital requiere de diversas capas de actuación donde la primera es la concienciación de los usuarios, junto con una serie de normas y procedimientos que permiten establecer protocolos de actuación seguros.
Es decir, el proceso de concienciación es el primer paso en ciberseguridad: es necesario que los usuarios conozcan las normas elementales de seguridad como realizar copias de seguridad, utilizar contraseñas seguras, pero que también sepan reconocer cuándo pueden estar siendo víctimas de un ataque.
Por eso, uno de los ataques más frecuentes son los conocidos como de ingeniería social, entendido como el uso de técnicas psicológicas de manipulación para conseguir que un usuario actúe de una manera determinada.
Si recordamos las estafas de toda la vida, como el tocomocho o el timo de la estampita, podemos reconocer perfectamente esas técnicas de manipulación donde el estafador busca accionar resortes como la avaricia, la vanidad, la necesidad de agradar o de quedar bien, etc… para que la víctima caiga en la trampa.
Ahora, las estafas se trasladan al entorno digital, pero siguen utilizando las mismas armas psicológicas para persuadir y conseguir sus objetivos.
Entre los ataques más habituales que emplean la ingeniería social estarían el phishing y el ataque del CEO.
Phishing
Son mensajes fraudulentos donde se suplanta la identidad del remitente haciendo creer al receptor que son entidades legítimas con las que te relacionas habitualmente (bancos, compañías eléctricas, medios de pago) con el objetivo de robar datos personales o bancarios.
Aunque suelen llegar por email, cada vez son más frecuentes otras vías como el sms o sistemas de mensajería como el Whatsapp.
Lo que caracteriza a este tipo de mensajes es que simulan ser de procedencia legítima, imitando los colores corporativos e incluso una dirección de email que parece correcta. Suelen contener enlaces a webs fraudulentas donde, con la apariencia de la web real, te solicitan tus credenciales de acceso para que se las entregamos sin darnos cuenta. O archivos que al descargarse te instalan un malware.
Aunque cada vez mejoran este aspecto, habitualmente suelen estar mal escritos, con faltas de ortografía, lenguaje no apropiado para provenir de una empresa o con giros o expresiones que no son de uso común en nuestro idioma.
Una simple búsqueda en Internet de parte del texto del mensaje te puede dar una pista rápida de que se trata de una estafa.
El ataque o fraude del CEO
Un caso especialmente dañino para las PYMES, y que se está convirtiendo en una plaga, es el conocido como fraude del CEO: un empleado con capacidad para hacer transferencias o acceso a datos de cuentas, recibe un correo de alguien con autoridad suficiente (jefe, CEO, presidente o director de la empresa) en el que le pide que haga una transferencia con carácter urgente.
La prisa, y que el mensaje viene de alguien con autoridad, invitan a actuar sin poner en duda la veracidad del mensaje. Y es que muchas veces es difícil verificar la autenticidad del mensaje, bien porque se recibe en el móvil y no se puede corroborar a simple vista que la dirección del correo origen es la correcta; o bien porque los ciberdelicuentes, que obtienen información de muchas fuentes, conocen que la "autoridad" se encuentra ausente o no está accesible (por ejemplo, de vacaciones o en un viaje).
Este es el caso de lo que ha pasado recientemente en la EMT de Valencia: una jefa de Administración recibe un correo, aparentemente de su director general, para que haga una transferencia urgente relativa a una operación confidencial.
El resultado han sido transferencias por importe total de 4 millones de euros a bancos de China.
¿Qué pasó exactamente? Lo primero es que se trató de un ataque dirigido, muy bien planificado y dónde los ciberdelincuentes habían recopilado mucha información previamente, igual que cuando antes querían robar en una casa y los "cacos" verificaban tus horarios, salidas, entradas, etc.
Lo siguiente es que a la víctima la bombardearon con mensajes y llamadas, donde todo tenía una apariencia legítima. Ella no parece que dudara en ningún momento porque las órdenes venían de una persona con autoridad.
La urgencia y los mensajes constantes de que no comentara con nadie la operación porque era muy confidencial, terminaron de cocer el pastel.
Por tanto, los ataques de ingeniería social pueden llegar a ser difíciles de detectar. Hay que conocer el modus operandi de los ciberdelincuentes para poder siquiera sospechar que se trata de una trampa, por lo que en estos casos la formación y la concienciación de todos los usuarios es fundamental.