Saltar el menú de navegación e ir al contenido

EROSKI CONSUMER, el diario del consumidor

Buscador

logotipo de fundación

Canales de EROSKI CONSUMER


Estás en la siguiente localización: Portada > Nuevas tecnologías > Internet y telecomunicaciones

Nuestros datos personales, el objetivo de los ciberdelincuentes

La suplantación de identidad y el hackeo de los sistemas informáticos de las empresas buscan hacerse con nuestros datos

  • Autor: Por
  • Fecha de publicación: miércoles 20 noviembre de 2019
Imagen: geralt

El Ministerio de Economía y Empresa, Netflix, Correos, Hacienda, Endesa, Bankia… Da lo mismo que sean organismos públicos, que privados. Los hackers se hacen pasar por servicios muy populares entre los ciudadanos con el fin de robar sus datos personales y bancarios. Para ello, recurren al envío de correos electrónicos fraudulentos (phishing), como alerta la Oficina de Seguridad del Internauta (OSI) mediante sus avisos de seguridad. Pero la suplantación de identidad no es la única forma que tienen los cibercriminales de hacerse con un bien tan preciado como nuestra información. En las siguientes líneas contamos algunos de los últimos sucesos registrados y los consejos de un experto en ciberdelincuencia para no caer en ellos.

En los últimos años los expertos en seguridad han detectado ataques masivos en forma de phishing, con los que los ciberdelincuentes suplantan la identidad de la popular plataforma de contenidos en streaming Netflix para robar datos de sus clientes. A principios de 2018, los hackers se hicieron pasar por este servicio de entretenimiento y así dar con las claves de las cuentas de sus usuarios. ¿El modus operandi? Enviar un correo electrónico falso que imitaba la identidad corporativa de la plataforma y en el que pedían a sus víctimas en España y EE.UU. que verificaran sus datos de acceso a la plataforma clicando en un enlace que, en realidad, dirigía a una página falsa. El verdadero peligro de este ciberataque, phishing, no era conseguir las contraseñas para ver películas y series gratis, sino su reventa en el mercado negro y facilitar así ataques a mayor escala, tal y como comentaban en su día desde PandaLabs, el laboratorio antimalware de Panda Security que fue el que detectó el problema. Y el mal uso que hacemos con las contraseñas, como reutilizarlas en cuentas de correo y redes sociales, podría ponérselo más fácil a estos cibercriminales.

Hace apenas un mes, de nuevo la plataforma era objeto de otro ciberataque parecido, esta vez, para robar datos personales y bancarios (número de tarjeta, fecha de caducidad y código de seguridad). “Se trata de un timo muy bien orquestado, ya que los ciberdelincuentes incluso emulan usar una autenticación de doble factor”, advertía Hervé Lambert, Global Consumer Operations Manager de Panda Security.

Y nada más comenzar noviembre, como alertaban desde la OSI, le tocaba a otro servicio muy popular entre la ciudadanía: la famosa aplicación de compraventa de segunda mano, Wallapop. En este caso, el problema ha sido una filtración de datos. A través de un correo electrónico, la app informaba a sus usuarios de que se había producido un “acceso indebido” a su plataforma y que, entre las medidas de seguridad implementadas, debía cerrar la sesión de las cuentas e inhabilitar las contraseñas afectadas, por lo que se recomendaba cambiar lo antes posible las claves de acceso al servicio o acceder desde Facebook o Google.

¿Qué está pasando? “En el ámbito de Internet, a día de hoy, uno de los activos más importantes, lo que más se valora, independientemente de las transacciones económicas y las autorizaciones de ellas, son los datos personales”, reconoce Alberto Redondo, el comandante de la Unidad Técnica de la Policía Judicial de la Guardia Civil. Y nuestras contraseñas para entrar a nuestro correo electrónico o a nuestras cuentas en servicios como los comentados, bancos o tiendas, son una puerta, muchas veces, sencilla de pasar. Y más, si usamos una misma clave para todo. “Esto es una cadena. Si usas la misma contraseña para el banco que para gestionar la tarjeta de puntos de viaje, en el momento que te revientan una —que si no es muy complicada no es demasiado complejo— pueden acceder a todos los sistemas. Y si se hacen con la clave del correo electrónico, pueden tener el control de la mayoría de los servicios online, pues en la mayoría de los servicios que tenemos con password y usuario en Internet te dan la posibilidad de recuperar la clave y te la mandan a tu correo electrónico. Es la pescadilla que se muerde la cola”, resume el experto en delitos tecnológicos.

Imagen: geralt

Recomendaciones para defender nuestros datos personales

En seguridad informática, recuerda el especialista “no hay nada 100 % seguro”, por lo que no queda otra que ponérselo difícil a los ciberdelincuentes. Crear contraseñas robustas (nada de conservar las que nos vienen predefinidas o sencillas de recordar), ayudarse para ello de sitios como Clavesegura.org o Identity Safe y contar con un gestor de contraseñas para construirlas y guardarlas son las fórmulas que recomienda Redondo. “Muchos gestores utilizan el doble factor de autenticación, las claves son robustas y algunos incluso rastrean en la Red por si ha habido una filtración de esa clave o si está en algún foro”, señala.

Y es que lo menos seguro con nuestras contraseñas es guardarla en cualquier tipo de documento informático, es decir, en un archivo txt o un Word en el escritorio. “Con un acceso directo es muy fácil de obtener”, admite el experto, por lo que casi es más seguro tenerlas apuntadas en un papel y saber dónde están. Confirmar con la aplicación Have I Been Pwned que nuestro correo electrónico no está comprometido, tras brechas de seguridad o ataques de sistemas que hayan podido darse  —como lo ocurrido con Wallapop—, también funciona.

Pero hemos podido tomar estas medidas y aun eso ser víctimas. ¿Cómo saberlo? El comandante de la Guardia Civil da algunas pistas:

  • En la carpeta basura para los mensajes spam (indeseados), ese tipo de correos empieza a ser inusualmente alto.
  • Los correos spam no pasan ese filtro y empezamos a recibir determinadas ofertas que no hemos solicitado en la carpeta de entrada principal.
  • Tenemos mucho correo phishing. Es lógico no caer si no tenemos cuenta, por ejemplo, en un determinado banco y nos dicen por correo electrónico que ha habido algún problema con la última transferencia que hecho con ellos. Pero si coincide que lo eres y respondes, podrán acceder a tus datos.
  • En servicios de pago, como la televisión online, con nuestras claves no podremos entrar.

Si nos han hacheado la cuenta, habrá que cambiar la contraseña y, en ocasiones, incluso "merecerá la pena cambiar la cuenta entera, no solo el password”, sostiene Redondo. Por lo que resulta fundamental comunicarlo al proveedor del servicio donde esté la clave comprometida. Y, por supuesto, si vemos que el delito se ha consumado (una transferencia económica con tu nombre o han hecho uso de un servicio), denunciarlo a la policía. Netflix, además, da sus propios consejos ante la recepción de un correo o mensaje de texto sospechoso, cómo denunciar el hecho y hasta cómo actuar si se ha caído en el engaño.

Etiquetas:

ciberseguridad

RSS. Sigue informado

Al publicar un comentario aceptas la política de protección de datos

Te puede interesar:

Infografías | Fotografías | Investigaciones