España, Europa y el Mundo entero se han parado ante la crisis global generada por el COVID-19, pero lo que no cesa, independientemente de las circunstancias excepcionales en las que nos encontramos, es la ciberdelincuencia.
En este sentido, desde la semana pasada, se han detectado numerosos ciberataques tendentes a aprovechar la difícil situación que estamos viviendo en la actualidad.
El Centro Criptológico Nacional (CCN) ha indicado la existencia de diferentes campañas de phis hing, ataques engañosos a través de los cuales se persigue que los usuarios proporcionen determinada información sensible para robar sus datos de identidad y datos de sus tarjetas o cuentas bancarias.
Concretamente, los ataques detectados relacionados con el COVID-19 han sido intentos de suplantación de Administraciones Públicas, como el Ministerio de Sanidad, Consejerías de Sanidad de las Comunidades Autónomas, Fuerzas y Cuerpos de Seguridad del Estado y otras organizaciones internacionales. A través de esta apariencia, los ciberdelincuentes simula n ofrecer apoyo o consejo sobre la situación, utilizando para ello aplicaciones de mensajería instantánea (como el correo electrónico, Whatsapp o Telegram, entre otras). Los mensajes enviados se acompañan de archivos o enlaces a páginas web donde el receptor puede “ampliar la información” facilitada. Así, se consigue que el propio usuario ejecute un archivo adjunto, que contiene algún tipo de malware, permitiendo a los ciberdelincuentes acceder a su dispositivo y, en consecuencia, a la información almacenada en el mismo.
Ante este tipo de conductas, el Centro Criptológico Nacional aconseja:
- Prestar especial atención a los correos electrónicos recibidos
- Evitar abrir documentos o archivos adjuntos a correos electrónicos relacionados con el COVID-19.
- No descargar aplicaciones para conocer el alcance internacional del COVID-19 de carácter no oficial.
En la misma línea, la Agencia Española de Protección de Datos recomienda:
- Mantenerse informado mediante fuentes oficiales y fiables, a través de las páginas institucionales de las mismas y nunca accediendo a través de enlaces proporcionados a través de correos electrónicos u otros mensajes.
- Verificar el remitente de los mensajes recibidos, así como los enlaces o documentos que se incluyan en los mismos, dado que en muchos casos puede apreciarse el carácter no oficial de la dirección web enviada.
- Estar alerta sobre las solicitudes de datos personales realizadas a través de páginas enlazadas en otras páginas web o mediante un mensaje recibido. Para evitar riesgos innecesarios, lo aconsejable es acceder directamente desde la web de la concreta organización o administración.
- Pensar y reflexionar, sobre las peticiones o mensajes recibidos, antes de llevar a cabo alguna acción o facilitar información de algún tipo.
Hay que recordar que los ataques de phis hing se basan en un engaño y aprovechamiento del factor humano de las empresas o receptores de estos mensajes y, adicionalmente, de especiales circunstancias que pueden favorecer el éxito de sus engaños, como es el caso de la situación actual ante el COVID-19. A través de herramientas y mecanismos informáticos, así como de técnicas de ingeniería social, se consigue explotar el miedo o la incertidumbre que nos acompaña estos días, con el objetivo de conseguir, directa o indirectamente, a través de la venta o chantaje de la información a la que acceden, ganancias económicas.
Ser conscientes de que esto nos puede ocurrir, nos exige a todos conocer las precauciones a adoptar ante estos ciberataques, ya que así evitaremos riesgos para nuestra empresa y para nosotros mismos. Os recomendamos seguir las recomendaciones de las instituciones oficiales y contar con el asesoramiento de entidades especializadas en materia de privacidad, seguridad de la información y ciberdelincuencia.
Compartiendo el deseo colectivo de que esta situación pase cuanto antes, con la aportación de cada uno de nosotros, estamos a su disposición.
Laura Fernández García, Consultora Legal de protección de datos y Privacidad.