Según los datos oficiales facilitados por el cuerpo de los Mossos d’Esquadra, las consultas recibidas por los delitos relacionados con internet se han incrementado en un 50% desde el inicio del confinamiento por el coronavirus. La expansión mundial del Covid-19 ha generado una situación excepcional en la que el uso de Internet ha sido mucho más intensivo, ya sea por entretenimiento como por trabajo, y de este hecho se han aprovechado los ciberdelincuentes.
El mecanismo de estafa más habitual en Internet que ataca a empresas y usuarios es conocido como “phishing”, término que proviene de la palabra inglesa “fishing” (pesca), haciendo alusión a la utilización de un cebo y esperar que las víctimas muerdan el anzuelo. Los ciberdelinqüents envían correos electrónicos haciendose pasar por fuentes fiables con el fin de, o bien infectar el equipo de la víctima con un virus o bien robarle credenciales bancarias.
El mecanismo del phishing es el siguiente: la empresa o el usuario recibe un correo electrónico prácticamente idéntico al que envían las entidades legítimas (copian los logotipos, el diseño y el tono de los correos electrónicos de estas entidades). Observamos un ejemplo recibido en los últimos días por un socio de PIMEC.
Parece ser real, pero si lo miramos con atención empezamos a detectar aspectos sospechosos. En primer lugar, el remitente: noreply@billet-societeg.com
Cuando hacemos clic en “verificar mi identidad” se abre una página que nuevamente parece real, pero si nos fijamos en la dirección web (www.see-alm.eu), no tiene nada que ver con la dirección de la entidad. En caso de introducir nuestras credenciales en esta página, se las estaríamos entregando a los ciberdelincuentes, que posteriormente accederían a nuestras cuentas bancarias.
Otro factor a tener en cuenta es que habitualmente los usuarios utilizan la misma contraseña en todas sus cuentas, por lo que los ciberdelincuentes pueden acceder con esta contraseña a todas las cuentas del usuario de las que tengan conocimiento.
¿Cómo evitar ser víctima del phishing?
1. Recuerda que ninguna entidad nos pedirá que introduzcamos nuestros datos mediante un correo electrónico.
2. No respondas a un correo electrónico sospechoso y reenvialo a la supuesta organización legitima que te envía el correo solicitando información.
3. No hagas clic en el enlace ni descargues el archivo adjunto.
4. Si tenemos cualquier duda tendremos que ponernos en contacto con la organización legitima para pedir información al respecto.
5. Utilizar la tecnología de la autenticación de doble factor (2FA) o de “doble verificación”.
¿Por qué estos correos electrónicos parecen tan convincentes y tienen tanta información nuestra?
Los ciberdelincuentes usan información pública sobre nosotros y nuestra empresa, visible y no visible, que buscan en Internet, especialmente en redes sociales. La información personal que compartimos es valiosa y, si no la controlamos, es fácil hacer un perfil personal de cualquier usuario. Finalmente, hay que recordar que, si creemos que hemos sido víctimas de un cibercrimen, tenemos que denunciarlo siempre y por otro lado, transmitir un mensaje de tranquilidad: Nosotros somos los auténticos responsables de nuestros actos en Internet y podemos controlar la situación. Simplemente tenemos que tomar consciencia de que jugamos un papel esencial para nuestra seguridad y que la seguridad pasa en muchos casos por pensar un momento antes de hacer “clic”.
Raúl Roca
CEO de Grail Security Systems
