lunes, 6 de junio de 2016

Los antivirus son inútiles si el usuario no toma precauciones

Los antivirus son inútiles si el usuario no toma precaucionesRomper los sistemas de seguridad de la mayoría de empresas es tan sencillo que se paga a precio de saldo. La base informática de una compañía de hasta 100 empleados, incluyendo bases de datos, información sobre cuentas bancarias y claves de acceso, cuesta en el mercado negro entre tres y diez euros. “Eso nos da una idea de lo desarrollada que está la ciberdelincuencia hoy en día”, asegura José Rodríguez Fuentes, jefe de sección de fraude financiero en la Unidad Delincuencia Económica y Fiscal (UDEF) de la Policía Nacional. La inseguridad en internet es tan alta y proviene de tantas fuentes que convendría que tanto empresas como particulares extremaran al máximo las precauciones.
Y, sin embargo, pese a que nuestra exposición a la red cada vez es mayor, nos estamos volviendo peligrosamente descuidados. El 40% de los 1.100 internautas encuestados por la aseguradora británica CPP reconoce no revisar en ningún momento la política de privacidad de redes sociales y otros servicios online. Y la concienciación sobre los problemas de seguridad que entraña la red disminuye en función de la edad. El 61% de los nacidos entre 1965 y 1979 (generación X) asegura estar preocupada por el uso que se hace de los datos personales en el ciberespacio. La proporción cae al 56% entre los millennials (nacidos entre 1980 y 2000) y hasta un preocupante 35% entre la generación Z (a partir de 2001), la que ya ha nacido en la era de internet. Esas son algunas de las conclusiones del informe de CPP.
Los ciberdelitos no dejan de crecer. Los últimos datos de la Fiscalía General del Estado (ejercicio 2014) elevaron a 20.534 los casos registrados, un 71% más que el año anterior. Y eso que muchos ataques no se denuncian por vergüenza a admitir vulnerabilidades o por no haberlos detectado. Cerca del 85% de los delitos fueron estafas económicas; los de pornografía, revelación de secretos, coacción y falsificación documental siguen siendo poco significativos. Entre los timos más comunes siguen colocándose el phishing, o suplantación de identidad, que a través de emails supuestamente enviados por una entidad bancaria se solicita al usuario que confirme sus claves. Pero también hay formas más sutiles, y aparentemente menos peligrosas, de caer en la trampa. Por ejemplo, abriendo una cuenta en una web desconocida para acceder a un trabajo. Como se suelen usar las mismas contraseñas para varias cosas, esa puede ser una puerta de acceso para los ciberdelincuentes.
También hay timos que se dirigen a un público teóricamente mejor preparado. “En la Europol tenemos un grupo de trabajo que persigue una serie de estafas a consejeros delegados”, explicó Rodríguez Fuentes durante la presentación del informe. Los ciberdelincuentes acceden a los altos ejecutivos a través de ingeniería social, investigando sus contactos, y les solicitan pagos de hasta 200.000 euros haciéndose pasar por proveedores.
“Estamos en plena pubertad en cuestión de seguridad de redes”, sentenció Paloma Llaneza, presidenta de la sección TIC del Colegio de Abogados de Madrid. “Me consta que muchos consejos de administración tienen chats en Whatsapp en los que hablan de asuntos estratégicos”, se quejó. Eso es como radiar información sensible (y con valor económico) y esperar que nadie sintonice la emisora por la que se ha emitido.
La pérdida de datos importantes (clientes, acuerdos, precios, proveedores, patentes...) puede salir muy cara. Y la mayoría de las veces el responsable de la fuga está dentro de la propia empresa o en la competencia. “Algunos estudios han demostrado que si una compañía sufre una brecha de datos sensibles durante sus primeros diez años de vida, está condenada a la quiebra”, subrayó el consejero delegado de la firma de informática forense Lazarus, Manuel Huertas.
Muchas empresas no saben ni que han sido atacadas hasta meses o años después. “A medida que pasa el tiempo, la información sobre las compañías va perdiendo valor, hasta que llega un momento que se cuelga en la red de forma gratuita”, ilustró Llaneza.
Algunas firmas de inteligencia se dedican a recopilar esas sobras para avisar a las afectadas de que han sido atacadas.

¿Cómo se percibe el peligro?

Datos personales. No todo el mundo entiende lo mismo por datos personales. El estudio de la aseguradora CPP revela que el 90% de los 1.100 encuestados incluye bajo esa categoría el DNI; el 79% añade la información bancaria y otro 71%, las contraseñas de acceso a los servicios de internet. Solo el 57% de los preguntados considera que su fecha de nacimiento también es un dato personal, y un 55% que las fotografías entran en esa categoría.
Posibles riesgos. Hay más consenso sobre qué perciben los usuarios como riesgos de la información online. El 84% considera que consiste en ser víctima de un fraude. Otro 79% cita el uso de identidad digital para actividades delictivas y un 77% señala el acceso y uso de información personal sin advertir de ello a su dueño. Compartir información con terceros (59%) y provocar daños en la reputación personal (30%) pesan menos para los usuarios.
Origen del robo. La sustracción de datos ocurre tanto en el medio offline como en el online. Entre las primeras se contarían el robo de bolsos y carteras, la clonación de tarjetas de crédito y la realización de falsas encuestas a domicilio. Entre las técnicas online destacan el phishing, o suplantación de identidad pidiendo claves a través de webs falsas, y elframing, esto es, la intervención del servidor para redireccionar a webs espejo que simulen el formulario de acceso del servicio real. Los ciberdelincuentes recurren también a la infección de webs y a los ataques de bases de datos, entre otros.
Amenazas. La amenaza que los usuarios consideran más frecuente es la duplicación de tarjetas, seguido del framing, el phishing, seguido de las encuestas fraudulentas.