CAMPAÑA de
SEGURIDAD DIGITAL
INAP
Menú

Al formar parte de la organización eres un posible punto de entrada hacia los recursos corporativos o la pasarela para disponer de acceso a información relevante. Recuerda… ¡tú también eres el objetivo!

¿Y por qué… tanta seguridad? ¡Tú también eres el objetivo!

Aunque a menudo se asocian los ataques informáticos con técnicas y herramientas muy sofisticadas, uno de los eslabones más débiles en el ámbito de la seguridad es el propio usuario. Los intrusos han descubierto que uno de los métodos más fáciles y efectivos para obtener tu información privada o comprometer tu ordenador es contactar contigo directamente y ganarse tu confianza a través de técnicas de manipulación, del engaño y de la suplantación de la identidad de otras personas conocidas.

El término formal para definir este tipo de ataques es "ingeniería social", es decir, la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. El atacante puede ganarse tu confianza, como usuario víctima, empleando diferentes técnicas: desde la creación de cuentas de correo electrónico o perfiles en redes sociales falsos, hasta simular relaciones con otras personas conocidas de tus círculos cercanos (personales o profesionales), referenciar algún vínculo común del pasado (colegio, universidad, lugar de residencia, trabajos previos, etc.), o mostrar intereses o aficiones comunes, ofrecer o solicitar ayuda, etc.

Una idea equivocada muy generalizada es que los usuarios pensamos que nadie nos va a atacar a nosotros, porque no somos suficientemente interesantes o disponemos de información valiosa. En algunos casos somos víctimas de ataques masivos y, en otros, de ataques más dirigidos. Simplemente por formar parte de la organización eres un posible punto de entrada hacia los recursos corporativos o la pasarela para disponer de acceso a personas más relevantes. Recuerda… ¡tú también eres el objetivo!

Recomendaciones

Cuidado con los mensajes de correo y las llamadas telefónicas desconocidas. Pueden dirigirnos a sitios web que no son de confianza

confianzaA la hora de contestar cualquier llamada telefónica, siempre sospecha e intenta averiguar y determinar si la persona que está al otro lado es quien dice ser. Es muy fácil para un potencial atacante hacerse pasar por otra persona, especialmente si conoce algunos detalles personales de esta. Son muy habituales las llamadas en las que alguien se hace pasar por personal del servicio técnico de alguna empresa conocida (por ejemplo, Microsoft), con la excusa de ayudarte a resolver un problema en tu ordenador. El objetivo real de la llamada es que lleves a cabo alguna acción concreta, como visitar un enlace web, descargar un fichero o habilitar algún tipo de acceso remoto que le permita comprometer tu ordenador.

Otra técnica ampliamente empleada y también asociada a este tipo de amenazas son los ataques dirigidos a través de mensajes personalizados de correo electrónico (spearphishing), donde el usuario víctima identifica el mensaje como auténtico, al proceder de alguien conocido e incluir referencias a sus actividades diarias o a su vida personal o profesional. De nuevo, el objetivo del mensaje es instar al usuario a visitar un enlace web o a descargar un documento adjunto malicioso. Son habituales, por ejemplo, mensajes de servicios de mensajería o correo postal indicando que has recibido un paquete y que debes llevar a cabo ciertas acciones online para poder recogerlo.

Actúa con precaución y de manera responsable cuando proporciones información personal o profesional.

Las interacciones y relaciones con otras personas son habituales en nuestro día a día, tanto en la vida personal como profesional. Por tanto, actúa también con precaución y de manera responsable ante la mera solicitud de información por parte de otros, independientemente del medio empleado (llamada telefónica, correo electrónico, mensajería, redes sociales, etc.). Los ataques de ingeniería social se basan en el exceso de confianza y en el descuido a la hora de proporcionar o facilitar excesiva información personal o corporativa. Esta información, aunque pueda parecer poco relevante, puede ser utilizada posteriormente en ataques más sofisticados y personalizados contra ti, o contra gente de tu entorno de confianza.

Sé cuidadoso con las redes sociales o con sitios web donde proporciones información

Debes tener también en cuenta que alguien se puede hacer pasar por ti para engañar a otros. Hoy en día es relativamente sencillo obtener información muy detallada sobre ti o tu organización a través de los perfiles públicos en las redes sociales (LinkedIn, Facebook, Twitter, Google+, Instagram, etc.), de los buscadores web, de las páginas web oficiales (por ejemplo, el BOE) y de muchas otras fuentes. Por tanto, protege siempre tu información, limitando los datos que facilitas públicamente sobre tu vida, tanto personal como profesional. ¡Cuánto más conozca el intruso sobre ti, más fácil le será tener éxito en su ataque!

Por un lado, no confíes, por ejemplo, en las opciones de privacidad de las redes sociales y de otros servicios similares, ya que podrían no aplicar a tus supuestos contactos o conocidos, y, además, cambian muy frecuentemente, sin tu conocimiento y aprobación. Por otro, deshabilita las capacidades de geolocalización de las fotos en tu dispositivo móvil, es decir, las capacidades de registrar tu ubicación en el momento de tomar la instantánea, ya que si la foto es publicada inmediatamente (o posteriormente), cualquiera puede saber dónde estás (o estabas).

Protege tu información personal y profesional

Limita también el rastro de información personal y corporativa que dejas a tu alrededor en tu entorno más cercano: destruye la documentación antes de deshacerte de ella en las papeleras, procura no olvidar documentos en las impresoras, etc.

Si dudas de que una llamada o una dirección no sean legítimas, toma nota de los datos de contacto y compruébalo.

Si en algún momento tienes dudas y consideras que una llamada o mensaje pueden ser legítimos, solicita y anota la información de contacto de la persona que ha contactado contigo (nombre y extensión). Posteriormente, ponte tú en contacto con ellos empleando directamente la página web, dirección de correo electrónico o el número de teléfono oficiales de la organización con la que quieres contactar.

Uno de los ataques más frecuentes y con mayor éxito últimamente es la distribución de ransomware, es decir, software o ficheros maliciosos que una vez ejecutados o abiertos cifran todos los documentos e información personal y corporativa almacenada en tu ordenador o dispositivo móvil. Posteriormente, el atacante coacciona a la víctima exigiéndole pagar un rescate si desea recuperar sus datos. En el peor de los casos, si tienes también acceso a carpetas o unidades de red desde tu ordenador, podrían verse afectados todos los documentos de la organización.

¿Qué es el cifrado?

El cifrado es un mecanismo de protección que convierte los datos o la información en un formato no legible a través de cálculos matemáticos y de una clave. Únicamente el poseedor de la clave podrá descifrar los contenidos protegidos y disponer así de los datos originales para poder visualizarlos.

Recuerda: si detectas algo sospechoso, no dudes en comunicarlo

Por último, aplica siempre el sentido común y si algo resulta extraño, sospechoso o no te huele bien, probablemente sea un ataque. Si identificas situaciones sospechosas que parecen muy urgentes o en las que alguien solicita información que no necesita o que ya debería conocer o algo parece demasiado bueno para ser cierto, notifica la incidencia lo antes posible a través de la Intranet. Recuerda… ¡tú eres el objetivo, pero también eres la primera línea defensiva frente a los ataques!

Recuerda, tú también puedes ser un hacker bueno, identificar anomalías, incidentes de seguridad y comportamientos sospechosos, por lo que tu colaboración y ayuda para proteger a la organización es fundamental.