Entradas

La ciberseguridad o seguridad de la información

El mundo está inmerso en un gran proceso disruptivo de transformación digital que afecta a todas las actividades de la vida, tanto en el entorno laboral como privado y de ocio. Este proceso se ha acelerado de forma significativa con el Covid19 y ha provocado efectos como la expansión del teletrabajo, la utilización de sistemas de videoconferencia para relacionarse, la reducción del uso de efectivo con el contrapunto del aumento de los pagos electrónicos, el incremento de las compras por Internet y del uso de banca electrónica, etc. En definitiva, en nuestra vida diaria estamos continuamente conectados desde cualquier dispositivo (móvil, tableta, PC…) a multitud de servicios digitales en la nube.

 

Uno de los puntos más críticos en ese proceso de transformación digital es la ciberseguridad. Sin seguridad no hay posibilidad de acometer la transformación digital. Pero ¿Qué entendemos por ciberseguridad y cuáles son los peligros a los que estamos expuestos como usuarios dentro de ese mundo digital?

 

La ciberseguridad, o seguridad de la información, se refiere a la práctica de asegurar la integridad, confidencialidad y disponibilidad de la información. El objetivo final de la ciberseguridad es proteger al usuario y los datos.

 

Las principales amenazas a las que estamos expuestos como usuarios son:

 

  • Malware: es software malicioso con diferentes variantes (virus, ransomware, spyware, trojan horses y keyloggers), diseñado para causar un daño extensivo a datos y sistemas o para obtener acceso no autorizado a redes o aplicaciones.
  • Ransomware: es un tipo especial de malware que encripta nuestra información (datos) y pide un rescate para liberarlos. El pago de este rescate se solicita típicamente en criptomonedas (bitcoins, etc) para evitar su seguimiento. El ramsonware supuso el 81% de los ataques por dinero en 2020.
  • Ataques de ingeniería social: se denomina así a ataques que utilizan la manipulación sicológica de los individuos para obtener información confidencial.
  • Ataques de phishing: es un tipo específico de ataque de ingeniería social. Se denomina phishing al intento de obtener información sensible (por ejemplo: contraseñas o números de tarjeta de crédito) a través de un email que suplanta la identidad de una organización confiable, un mensaje de texto SMS o una llamada telefónica.
  • Advanced Persistent Threat: es un tipo de ataque en el que un usuario no autorizado obtiene acceso a un sistema o red y permanece ahí “dormido” por un período largo de tiempo sin ser detectado.

 

Estos ataques pueden realizarse a través de diferentes vectores de intrusión. Entendemos por vector de intrusión la ruta o el recurso que utiliza un “actor” para obtener el acceso a un objetivo. Los más comunes son:

 

  • Emails con enlaces o attachments maliciosos.
  • Websites manipuladas o fake que descargan virus en el dispositivo del usuario.
  • Dispositivos externos USB: Los atacantes infectan con ‘malware’ estos medios físicos y después los depositan cerca de las instalaciones de una compañía con el objetivo de que los empleados más curiosos los inserten en sus equipos. Esta técnica es conocida como baiting.
  • Hotspots wifi no securizados.
  • Uso de contraseñas débiles por parte de los usuarios.
  • Teléfono: técnica conocida como vishing que consiste en realizar llamadas telefónicas suplantando la identidad de una persona o compañía para conseguir información confidencial de las víctimas.
  • Mensajes de texto SMS: ataque conocido como smishing donde se intenta suplantar la identidad de una compañía y que la víctima pinche en un enlace llame a un número de teléfono o responda al mensaje.
  • A través de redes sociales.

 

Ante todo esto, ¿Cómo podemos defendernos como usuarios? Lo más importante que hay que entender es que en gran parte nuestra seguridad depende de que tengamos cierta formación y permanezcamos vigilantes. La mayoría de las brechas de seguridad se producen por una acción indebida de un usuario. Los principales consejos a seguir serían:

 

  • Utilizar siempre contraseñas “fuertes”, cuanto más largas mejor. Para acordarse de la contraseña lo mejor es utilizar una frase que podamos memorizar fácilmente. Nunca utilizar datos personales en una contraseña (fechas de nacimiento, etc).
  • No responder nunca con nuestro usuario y contraseña a ningún email, SMS o llamada telefónica que nos lo solicite.
  • Habilitar MFA (Multi Factor Authentication) en aquellos servicios que nos lo ofrezcan. MFA es, por ejemplo, la confirmación de nuestra identidad (usuario/contraseña) a través de un segundo factor como, por ejemplo, un código recibido vía SMS.
  • Estar pendientes de los correos que recibimos de empresas confiables pero que nos hacen sospechar que puedan ser phishing por alguna razón: el remitente no coincide con dicha organización, la sintaxis del texto no es correcta, etc.
  • Mucho cuidado con los enlaces (URLs) que pinchamos, sobre todo si vienen a través de un email desconocido o están en una web no confiable.
  • No abrir attachments que vengan en emails cuyos remitentes no conozcamos o no sean completamente confiables.
  • No pinchar dispositivos USB desconocidos en nuestro PC.

 

Cristóbal Martínez Caballero, el autor de este post, es experto en ciberseguridad y ejecutivo del sector de ciberseguridad en España.