Ayer jueves 298 de enero de 2021 se celebró el Día Europeo de la Protección de Datos, día establecido por la Comisión Europea, el Consejo de Europa y autoridades encargadas de la Protección de Datos de los diferentes países miembros de la UE, en el que se pretende concienciar sobre la importancia del valor de nuestros datos personales y los derechos y obligaciones con los que contamos como usuarios de Internet.
El Consejo de Europa estableció el Día Europeo de la Protección de Datos en resolución a 26 de abril de 2006. Y otro importante paso dado en Europa se dio el 2018 con la entrada en vigor del Reglamento General de Protección de Datos (GDPR), normativa caracterizada por sus altas multas por incumplimiento.
Los cibercriminales no necesitan concienciación sobre el valor de los datos personales presentes en Internet, ya que conocen bien el gran rédito económico que pueden obtener. Y actualmente una de las estrategias que más utilizan para hacerse con ellos es el Phising, la pesca de incautos por email.
Un caso reciente en España lo encontramos, por ejemplo, en la alerta dada por el Instituto Nacional de Ciberseguridad sobre dos campañas que suplantan dos organizaciones españolas: Ibercaja y la DGT.
Ibercaja
En la campaña detectada que suplanta a Ibercaja, el asunto del correo es: “SERVICIO DE ADMNISTRACIÓN DE CUENTA”, y en el mismo, el ciberdelincuente indica que es un correo enviado desde el equipo de soporte de Ibercaja, e insta a revisarlo haciendo clic en el enlace que indican a continuación.
Una vez que se clica en la opción de “Revisar mi mensaje”, el usuario es redirigido a una página web falsa para que se introduzcan las credenciales de acceso a la banca online. Una vez completados los campos, las credenciales han sido capturadas por los ciberdelincuentes.
DGT
En la campaña denunciada, el correo electrónico trata de distribuir un tipo de malware Dropper diseñado para tomar el control del equipo de la víctima. Una vez que el dispositivo infectado está bajo control del ciberdelincuente le permitirá realizar distintas acciones maliciosas, como robar datos personales o infectar nuevamente el equipo con otros tipos de malware específicos para sus objetivos.
En el cuerpo del mensaje del correo electrónico que suplanta a la Dirección General de Tráfico , una vez se ha pulsado sobre el enlace «Acceso a Sede Electrónica», se abre el navegador para descargar a continuación un archivo .zip. El archivo descargado contiene malware, que puede ser detectado por algunos navegadores como archivo malicioso, notificándolo al usuario.
Por todo esto, es necesaria la concienciación de usuarios y empresas y contar con los mecanismos necesarios para mantener todos nuestros datos personales a salvo. Sophos , empresa de ciberseguridad líder global en seguridad para protección de redes y endpoints, lleva a cabo esta misión de ciberprotección de usuarios y empresas, ofreciendo en este día las siguientes recomendaciones para estar protegidos contra este tipo de ataques de phising:
- No te dejes engañar por el nombre del remitente. Por ejemplo, esta estafa puede ser recibida en nombre del cualquier banco u otro organismo oficial, pero en realidad el remitente puede poner el nombre que quiera utilizando el campo “De: …”
- Pon especial atención en los errores ortográficos y gramaticales. No todos los ladrones los cometen, pero muchos sí. Tomate un tiempo extra para revisar los mensajes recibidos en busca de señales que indiquen que pueden ser fraudulentos. Ya es bastante malo ser estafado como para darte cuenta que podrías haber descubierto el fraude por adelantado.
- No descargues ningún archivo que no has solicitado. La mayor parte de las veces contendrá malware.
- En caso de duda sobre la legitimidad del correo, no pulses sobre ningún enlace ni descargues ningún archivo y ponte en contacto con la empresa o el servicio que supuestamente te ha enviado el correo, siempre a través de sus canales oficiales de atención al cliente.
- La concienciación y formación es fundamental para detectar esta clase de de correos fraudulentos. Productos como Sophos Phish Threat logran concienciar a los usuarios simulando campañas de ataques de phishing para empleados pero de una forma segura, mostrando los trucos que utilizan los ciberdelincuentes pero sin que se produzcan daños reales si alguien cae en la trampa.
