El ciberataque estrella: la suplantación de identidad

El ciberataque estrella: la suplantación de identidad

24 septiembre 2019

Según un reciente informe de Inteligencia en Seguridad emitido por Microsoft, la suplantación de identidad se ha convertido en uno de los crímenes online más comunes y también en uno de los que más está creciendo en el último año. De una muestra aleatoria de correos electrónicos analizados en abril de 2019, un 0,7 % era de suplantación de identidad, cinco veces más que el 0,14% que se detectó en enero de 2018. Esto significa que, aproximadamente, 1 de cada 150 emails analizados fue un intento de conseguir acceso ilegal a datos mediante la suplantación de identidad.

El Phishing o suplantación de identidad se refiere al método utilizado por hackers para conseguir datos confidenciales (usuarios, contraseñas, datos bancarios, etc) a través de un engaño. Habitualmente se utiliza el correo electrónico, aunque también puede darse a través de la mensajería instantánea (WhatsApp), del SMS o una página web aparentemente de confianza. Uno de los sectores más perjudicados es el bancario, ya que los hackers aprovechan la seguridad que da a las víctimas un correo electrónico recibido desde su entidad bancaria para hacerse con sus datos de manera fraudulenta. En cuanto a la mensajería instantánea, recientemente se ha conocido la denuncia del líder de Ciudadanos ante el hackeo de su cuenta de WhatsApp.

Asimismo, los delincuentes se han sofisticado y se reciben envíos que realmente parecen provenir de una fuente conocida por el receptor, muy detallados.  Entran en las redes sociales de la víctima, recaban información certera (qué hacen, dónde compran, cuál es su entidad bancaria) y, con eso, lanzan el ataque. En definitiva, baja el ransomware, tan "de moda" en 2017, y los esfuerzos de los delincuentes se centran en el robo de la identidad digital de los usuarios.

 

Qué hacer frente a la suplantación de identidad como ciudadano

El 69% de los ciudadanos está más preocupado por el phising que por los riesgos que puede suponer sufrir un atentado contra su integridad física (49%), según el último Índice de Seguridad de Unisys (https://revistabyte.es/actualidad-byte/el-robo-de-identidad/).  La Oficina de Seguridad del Internauta -OSI da algunos consejos en su portal para evitar un robo de identidad digital:

  • No responder mensajes no solicitados (email, mensaje instantáneo…)
  • No abrir archivos adjuntos de emails no solicitados.
  • Nunca facilitar contraseñas a desconocidos, aunque se hagan pasar por instituciones.
  • Revisar siempre las direcciones web sospechosas y que la dirección del email del remitente tenga un dominio oficial.
  • Mantener actualizado el equipo: su sistema operativo, el navegador y los programas antivirus.
  • Modificar las claves de acceso periódicamente.
  • Realizar copias de seguridad de forma seguridad.
  • Dar permisos solo a usuarios de confianza.

Pueden encontrarse más claves en el manual del Instituto Nacional de Ciberseguridad, INCIBE sobre fraude y gestión de la identidad online o en manuales para dispositivos específicos (como los móviles) por entidades como el Centro Criptológico Nacional, CNN-CERT.

 

¿Y cuándo eres una empresa?

Según el estudio realizado por la firma de ciberseguridad Proofpoint, ni uno solo de los ministerios españoles está protegiendo su dominio contra la suplantación de identidad por parte de los ciberdelincuentes. Esto significa que los dominios legítimos pueden ser utilizados para enviar mails fraudulentos.

En ese mismo estudio (principios de 2019) se determinaba que 7 de cada 10 compañías del Ibex35 estaban expuestas al fraude por correo electrónico y, en particular, a la suplantación de identidad. Es decir, el 70% de las empresas españolas en el Ibex35 no tienen en marcha mecanismos de defensa efectivos frente a los ciberataques.

En cuanto a las PyMES, el informe de "Webroot SMB Cybersecurity Preparedness" (2018) revelaba que, pese a que en muchas empresas se ofrece algún tipo de entrenamiento de ciberseguridad a sus empleados, el 79% de las entidades no están completamente preparadas para administrar la seguridad de TI y protegerse contra las amenazas.

A pesar de los esfuerzos con la creación del CSRIT.es y las medidas en materia de ciberseguridad que llegan desde Europa parece que no ha calado esta filosofía a nivel empresarial en España.

INCIBE publicó en 2017 un decálogo antiphishing  para PyMES, pero siempre han insistido en que la clave está en la formación del equipo.

La falta de profesionales especializados en el campo de la ciberseguridad y el cambio de objetivo de los ciberataques (más phishing y menos ransomware) ha llevado a empresas a contratar a hackers "blancos" para probar la defensa implantada en la organización.  De todos modos, no siempre es posible esta vía y no queda otra que formar a los equipos en seguridad.