En ciberseguridad, no existen inocentadas
¿Te has dado cuenta? Hoy es 28 de diciembre, día de los Santos Inocentes. Si no habías caído, posiblemente habrás podido constatar que en diferentes medios digitales hay noticias-broma, muchas de las cuales se habrán viralizado en redes sociales u otros medios de comunicación.
A pesar de que este tipo de bromas tienen cabida en nuestra sociedad y están ligadas a este día, hay otras que debemos seguir teniendo en consideración, ya que los engaños en la red no entienden de efemérides y en este caso, la motivación no es hacer reír. Por lo tanto, aprovechando la oportunidad que nos brinda este día, vamos a hacer un breve repaso sobre cuáles son los incidentes de seguridad más comunes, cómo protegernos ante ellos y evitar que se conviertan en una “inocentada”.
Fuga de información
Se trata de aquellos accesos a información privada que se tienen por parte de personal no autorizado. Estas fugas pueden ser intencionadas o accidentales y de personal interno o externo a la organización. En muchas ocasiones, son provocadas sin que el trabajador se dé cuenta (por desconocimiento o error), y en otras por motivos relacionados con venganzas, ventas de información, etc.
Las principales consecuencias de un incidente de estas características son los daños a la imagen corporativa y reputación de la empresa.
Para conocer las claves y poder hacer frente a este tipo de incidentes, te proponemos que hagas uso de nuestra guía «Cómo gestionar una fuga de información: una guía de aproximación al empresario».
Ingeniería social
Las técnicas de ingeniería social son utilizadas por los ciberdelincuentes para la obtención de información sensible, datos confidenciales, credenciales de acceso a diferentes servicios, etc. Para conseguirlo, utilizarán técnicas de persuasión que se aprovechan de la buena voluntad de la víctima.
El principal método de propagación de este tipo de engaños es el correo electrónico. Sin embargo, no es el único, ya que se pueden valer también de llamadas o mensajes a través de aplicaciones de mensajería instantánea o redes sociales.
Como principales consejos:
- no hagas clic en los enlaces de los correos, ni descargues adjuntos sospechosos;
- nunca rellenes formularios que te soliciten datos personales o bancarios.
Phishing
Se trata de una técnica basada en la suplantación de una entidad legítima cuyo fin es la obtención de datos personales o bancarios y credenciales de acceso a servicios. Para la consecución de tal fin, utilizan el correo electrónico. Su «modus operandi» implica la suplantación de una página web legítima haciéndole creer a la víctima que se encuentra en el sitio oficial.
Principales aspectos a tener en cuenta:
- Fíjate bien en el remitente
- En muchas ocasiones, en este tipo de correos existen errores gramaticales y faltas de ortografía.
- Revisa que la dirección de donde recibes el correo es la que utilizas para dar de alta tus servicios
- Si el cuerpo del mensaje comienza por saludos genéricos tipo «Estimado cliente», sospecha.
- No accedas a los enlaces que recibas por correo. Si tienes que entrar en la página de alguno de tus servicios online, accede directamente escribiendo la dirección en el navegador.
- Revisa las direcciones de las páginas a las que estás accediendo, sobre todo si has hecho clic en algún enlace.
- Mucho cuidado con los archivos adjuntos. Podrían contener todo tipo de malware.
Ransomware
Se trata de un tipo de malware que aprovechando los agujeros de seguridad del sistema, una vez se despliega en un equipo cifra y «secuestra» la información que contiene, pidiendo un rescate (normalmente en bitcoins), a cambio de su liberación. Para su instalación se suele valer de las técnicas de ingeniería social, provocando su descarga y ejecución a través de engaños.
Las principales medidas para la prevención del ransomware son:
- Mantén siempre actualizados los sistemas operativos, navegadores y aplicaciones.
- Haz siempre copias de seguridad, guardándolas en un lugar distinto al servidor de ficheros y verifica que sabes cómo restaurarlas.
- Mucho cuidado con los correos electrónicos. Evita abrir correos sospechosos no solicitados.
- Realiza navegación segura, evitando sitios dudosos y utilizando VPNs siempre que sea posible para las conexiones externas a la organización.
- Utiliza herramientas de detección de ransomware.
- Asegúrate de contar con las cuentas de usuario necesarias. No utilices permisos de administrador para cualquier cosa y ten la seguridad de contar con contraseñas robustas.
Botnets
Una botnet es un conjunto de ordenadores infectados controlados de manera remota por un atacante, formando una red que podría utilizarse con fines maliciosos como el envío de spam, ataques de denegación de servicio (con el fin de dejar servidores inoperativos), propagaciones de virus, etc.
La mejor manera de evitar este tipo de redes se basa en proteger los equipos contra el malware y concienciar a los empleados para que hagan un uso correcto de los recursos corporativos.
Así que ya sabes, que las bromas del día de los inocentes no te amarguen las navidades, ni el resto del año. Actualiza el software, utiliza contraseñas robustas, haz uso de las copias de seguridad y asegúrate de saber cómo restaurarlas, y sobre todo conciencia, forma y sensibiliza a tus empleados. Sigue nuestros consejos y haz frente a las amenazas de seguridad. ¡Feliz navidad!