Nos encontramos en la actualidad en un escenario de alerta social generalizada. Se ha declarado el estado de alarma para la gestión de la situación de crisis sanitaria ocasionada por el COVID-19 (Real Decreto 463/2020, de 14 de marzo). Toda la ciudadanía, con el personal sanitario a la cabeza, está remando en la misma dirección para frenar la rápida expansión de este virus y atender a los afectados. Y es en este estado de emergencia sanitaria y preocupación en el que los ciberdelincuentes han encontrado un marco idóneo para preparar sus ataques informáticos, en especial explotar ataques de phishing.
¿Qué es el Phishing?
Con Phishing se hace referencia al conjunto de técnicas que persiguen engañar a los usuarios haciéndose pasar por una persona, empresa o servicio, en teoría, de confianza, para que realice determinadas acciones que le permitirán obtener su información confidencial.
¿Qué está ocurriendo con el Phishing en la actualidad?
De lo que se nos está avisando estos días, por ejemplo desde entidades como el Instituto Nacional de Ciberseguridad (INCIBE), es que se ha detectado la proliferación de campañas de phishing a través del envío de correos electrónicos, sms o mensajería instantánea (WhatsApp, Telegram, etc.) de carácter fraudulento en el que se suplanta a entidades bancaria o financieras, con el objetivo de dirigir a la víctima a una página web falsa (phishing) y robar su información, sus datos personales.
Estos ciberdelincuentes no solo se hacen pasar por bancos u otras entidades financieras, sino que también están suplantando a organismos públicos u organizaciones con información relevante sobre el COVID-19 como el Ministerio de Sanidad, Consejerías de Sanidad de las Comunidades Autónomas, Fuerzas del Orden, Organizaciones Internacionales, etc., para, con el pretexto de ofrecer ayuda o consejos, poder hacerse con datos personales de a quienes consigan engañar.
Si la víctima pica con el mensaje, sigue el enlace y descarga y ejecuta un archivo adjunto, se tratará de algún tipo de malware que permitirá a los ciberdelincuentes tomar el control del dispositivo, acceder a la información y datos personales e incluso cifrar esos datos. Si este incidente se produce en un dispositivo personal, tendrá un impacto sobre la privacidad de la victima. Si, en cambio, se produce en un dispositivo empresarial, podría tener un impacto en la confidencialidad, disponibilidad e integridad de la información de la empresa, exponiéndola a posibles sanciones en materia de protección de datos.
¿Cómo evitar convertirnos en víctima de estos ataques?
Se deben extremar las precauciones y no tomar decisiones precipitadas, siguiendo siempre pautas y recomendaciones de entidades oficiales y expertos en seguridad.
Para prevenir estos casos de phishing, INCIBE facilita las siguientes recomendaciones:
-
No abrir correos o mensajes de usuarios desconocidos o que no se hayan solicitado, hay que eliminarlos directamente.
-
Si el correo procede de una entidad bancaria legítima, nunca contendrá enlaces a su página de inicio de sesión o documentos adjuntos.
-
En ningún caso contestar a estos correos o mensajes.
-
Tener precaución al seguir enlaces o descargar ficheros adjuntos en correos electrónicos, SMS, mensajes en WhatsApp o redes sociales, aunque sean de contactos conocidos.
-
Tener siempre actualizado el sistema operativo y el antivirus (siempre debe estar activo)
-
Asegurarnos de que en las cuentas de usuario se utilizan contraseñas robustas y sin permisos de administrador.
-
Si tenemos una empresa o formamos parte de ella, debemos avisar inmediatamente a todo el personal para que estén alerta frente a los correos o mensajes que reciban de origen sospechoso, especialmente si contienen archivos adjuntos o enlaces externos a páginas web de inicio de sesión.
Por su parte, la Agencia Española de Protección de Datos (AEPD) establece otras recomendaciones adicionales para estar precavidos y no caer en ataques de phishing:
-
Mantenernos informados mediante fuentes oficiales y confiables, acudiendo directamente a las webs de las instituciones o medios de comunicación, nunca a través de un enlace proporcionado en un mensaje o en un email.
-
Verificar la dirección de correo electrónico remitente del mensaje y también el enlace web al que te remite el mensaje. A veces, resulta obvio que la dirección web no es legítima, pero otras veces los ciberdelincuentes son capaces de crear enlaces que se parecen mucho a las direcciones legítimas.
-
Tener cuidado con las solicitudes de datos personales a través de webs a las que has llegado siguiendo un enlace contenido en un mensaje o correo electrónico. Es mejor acceder directamente a la web de esa organización.
-
Fijarse bien en el contenido del mensaje y sospechar de mensajes con faltas de ortografía, errores gramaticales y saludos genéricos sin aportar ningún dato tuyo (“Estimado ciudadano” o “Estimado paciente”).
-
Sospechar si, además, el contenido del mensaje te urge a realizar cualquier tipo de acción cuanto antes, con una urgencia injustificada.
Asesor legal
Umbra Abogados