Privacidad y Seguridad

Instituto Internacional de Privacidad y Seguridad de la Información

Noticias 

Cibercrimen, el nuevo enemigo a combatir

admin

Periódicamente nos levantamos con la  noticia que el Cibercrimen ha superado económicamente al tráfico de drogas. Podría parecer que es algo actual, pero desde hace varios lustros tenemos conocimiento de ella:

19/09/2007 (sí, es 2007):

El negocio del cibercrimen supera al del tráfico de drogas

20/04/2016:

https://www.eleconomista.es/tecnologia/noticias/7505178/04/16/El-cibercrimen-ya-mueve-mas-dinero-que-el-trafico-de-drogas.html

31/07/2018:

https://cincodias.elpais.com/cincodias/2018/07/30/mercados/1532962743_016593.html

20/05/2019:

La ciberdelincuencia mueve tanto dinero como la pornografía y el tráfico de drogas juntos

Es sorprendente. ¿Y cuáles son las razones? Porque algo habrá…

Pues sí, y es el profundo desconocimiento que la sociedad tiene de la tecnología actual.

No es mi intención explayarme en este artículo aportando porcentajes de delitos relacionados con el Cibercrimen, sino dar a conocer cuáles son los errores más habituales entre los usuarios del ciberespacio, a modo de prevención de futuros ataques.

Se emplean dispositivos que son máquinas de recopilación de datos personales y profesionales, y no somos conscientes que no ponemos la suficiente atención a lo que hacemos con ellas, permitiendo el acceso no sólo ya a la información más estricta y personal nuestra, sino que con ella puedan averiguar cómo intimidarnos y ser víctimas de fraudes, tanto físicos como en el ciberespacio.

La excesiva confianza en la premisa de pensar eso de «¿quién se va a fijar en mí?» lleva a que se descuide lo más básico, la protección personal. No miramos ni medimos el flujo de datos que, a diario, proporcionamos a los distintos portales web y, en función de su seguridad, serán más vulnerables o no.

En eventos dedicados a medianas y grandes empresas a los que he asistido, la mayoría de los directivos alertan de la necesidad, no sólo ya de una Inteligencia Artificial que evite las posibles vulnerabilidades que puedan entrar en los equipos, sino que los usuarios de estos dispositivos ofimáticos necesitan  una formación que no saben dónde ni quien puede impartirla, y que van aprendiendo sobre la marcha, bajo el método de prueba y error (y cuando se consigue un funcionamiento, no se comprueba si es el más correcto o adecuado).

Las cifras actuales de Cibercrimen son ya alarmantes, cualquier persona de dudosa ética se encuentra ya en el Ciberespacio para hacer su agosto, atacando el eslabón más débil de la cadena, que no es otro que el ser humano:

  • Mediante envíos de correos electrónicos (conocidos como “Phising”) donde se notifica que conocen la contraseña de algún correo electrónico que hayamos poseído a lo largo de nuestra vida, nos notifican con un mensaje en el que te indican esa clave y te hace dudar si es la actual o es una antigua. Existen en Internet páginas donde te indican si tu cuenta de correo ha sido vulnerada o no, especialmente aquellas que se encontraran en servidores ya antiguos, como las extintas Hotmail, Terra o AOL, entre otros, cuyos sistemas de almacenamiento de contraseñas fueron vulnerados hace años y que, por el arte del birlibirloque o por razones que cada cual pueda esgrimir, no se han vuelto a cambiar.
  • Si en algún momento has sido vulnerada la protección de algún equipo informático que hayas tenido, han podido acceder a nuestros datos “sensibles” (yo mismo tuve, en alguna ocasión, una carpeta compartida con mi CV en su interior y, mientras chateaba con el mítico MIRC – programa dedicado a establecer charlas entre personas conectadas –, el cual contenía una vulnerabilidad que permitió acceder a personas a ver el contenido de esos directorios compartidos); y con esa información, pueden realizar un ataque de “fuerza bruta” (ir probando cada dato, escrito en un fichero, hasta dar con la tecla) con datos conocidos: demasiadas personas utilizan su fecha de nacimiento combinada con su localidad actual, o su número de teléfono, para obtener el acceso a uno de sus correos oficiales, desde el cual se pueda intimidar a otras personas, organismos o a la persona misma.
  • Como norma general, todavía hay demasiados usuarios que utilizan software no legalizado, es decir, programas del que no se dispone de una licencia original y se “parchea” para poder utilizarlo. El mismo parche utilizado es, en sí, un monitor que recopila información sobre todo el uso que se hace de esa aplicación, y se envía a su creador para que se pueda, en un momento dado, intimidar al usuario con datos reales y sobre los que no quepa duda que son de su pertenencia (hay que tener en cuenta que el creador de un parche no puede certificar que dicha utilidad no vulnera la protección de datos, ya que en sí mismo está cometiendo un delito contra la propiedad intelectual).
  • Una de las características principales de sostenimiento del Cibercrimen es la utilización de Bitcoin como criptomoneda sobre la que realizar transacciones económicas, aunque también se ha dado el caso real de un cibercriminal que exigió el pago de una contraprestación para no publicar unas supuestas fotos de menores a una cuenta bancaria, con la inmensa fortuna que se lo reclamó a un Comisario de la Policía Nacional cuyo fin laboral es, precisamente, detectar el abuso de menores en la red (se puede decir que no andaba desencaminado pero, con ese tino, podría haberse dedicado a apostar en la Lotería Primitiva y le habría tocado el primer premio).
  • Es también muy alarmante el caso de la no utilización de sistemas de protección local, esto es, antivirus combinados con cortafuegos. Existe la creencia que “los antivirus no son necesarios” para la navegación por Internet que puede ser extensible a todos los usuarios, cuando la realidad dista mucho de ese conocimiento. El usuario básico o normal necesita la protección de un sistema de seguridad de calidad, los antivirus gratuitos no poseen la debida protección, y tarde o temprano están continuamente avisando de la adquisición de sus servicios completos, llegando al grado de “publicidad invasiva”, generando una sensación de inseguridad a la hora de la utilización del equipo.
  • Últimamente se está popularizando el envío de direcciones web acortadas, de forma que no se conoce la verdadera url de destino, y cuya finalidad es la obtención de “cookies” existentes en los equipos, así como marcadores, usuarios, contraseñas, empleando vulnerabilidades en los navegadores que no se encuentren actualizados, algo que es más habitual de lo que sería recomendable (recordemos que, el 1 de noviembre de 2019, han anunciado un parche de seguridad para Google Chrome, dado que se ha descubierto un agujero de seguridad que permite acceder a los cibercriminales directamente al ordenador sin mediar interacción por parte del usuario).
  • El llamado “fraude del CEO”, es una técnica que se caracteriza en la utilización de todos los medios telemáticos y electrónicos al alcance –incluyendo llamadas telefónicas-, para que los profesionales responsables de los mecanismos de pago y transacciones económicas en empresas, tanto públicas o privadas, autoricen el pago de cantidades más o menos elevadas en cuentas bancarias supuestamente autorizadas. Una de sus características es la urgencia de los pagos, por lo que es lo primero que se debe transmitir a los usuarios. Otra, es que no se realiza ningún tipo de operación en persona y otra es que suelen ser pagos de importes elevados (aunque dependiendo del destinatario podrían ser incluso pequeños cargos). Tiene la peculiaridad que no se suelen hacer públicos, por el sentimiento que genera.
  • A medida que aumenta el número de personas conectadas a esta Hipertecnologizada Sociedad, en la que ya se cultivan hasta los pescados que consumimos en nuestra mesa, así como el resto de productos alimenticios, la automatización de cadena de distribución, su logística, el transporte de mercancías, que conduciría al verdadero paraíso en la tierra, la incorporación de características criminales al ciberespacio hace que destruyamos por completo el mayor avance que el ser humano ha realizado en estos tiempos, comparable únicamente a la Revolución Industrial. Las Fuerzas y Cuerpos de Seguridad de los estados van a remolque de las actuaciones cibercriminales, por lo que es necesario que el ciudadano de a pie se implique y sea parte activa en la detección y ayuda de los posibles actos que se puedan producir. Y este proceso sólo puede venir de mano de un interés voluntario por lo que ocurre a su alrededor, sabiendo identificar en cada momento qué y por qué ocurre.

Existe una frase, algo manida ya, en la que se expresa: “yo ya he aprendido todo lo que tenía que aprender”. La persona que esté de acuerdo con ella y la ponga en práctica, es candidata sine qua non a ver sus datos, derechos y privacidad violadas.

Pongamos todos de nuestra parte para reducir, en lo posible, esta brecha y hagamos, en la medida de nuestras posibilidades, un Ciberespacio más seguro para todos.

Autor: Ale Cortés Ingeniero – Profesor – Hacker – Perito Judicial – Informático Forense.