La seguridad digital o ciberseguridad es de vital importancia. Un acceso ilegítimo a sus sistemas puede ocasionarle perjuicios legales, económicos y de reputación. Según un estudio de Karspersky Lab, uno de los fabricantes de antivirus más prestigiosos del mundo, 6 de cada 10 empresas no sobreviven a un ataque informático.

¿Que es la Seguridad digital?

La seguridad digital es la parte de la Ingeniería del software que se dedica a impedir o mitigar las violaciones de seguridad que impliquen cualquier grado de afectación al sistema de información de la organización.

1. Confidencialidad
2. Integridad
3. Disponibilidad

Hoy en día, la seguridad digital o cyberseguridad es un problema a abordar por todas las organizaciones. Por lo tanto, requiere un plan estratégico que involucre toda la estructura empresarial. El sistema es tan seguro como lo es el eslabón más débil de la cadena. Las compañías que no tienen un plan de seguridad establecido tienen menos posibilidades de sobrevivir en un entorno cada vez más competitivo.

Tipo de ataques cibernéticos

Hay varios ataques cibernéticos, estos ocho son los principales:

1. Malware
2. Phishing
3. Ransomware
4. Denial of service
5. Man in the middle
6. Cryptojacking
7. SQL injection
8. Cero-day exploits

Malware

Malware, es el acrónimo de malicious software, es decir software malicioso. Dentro de malware encontraríamos cualquier software que está diseñado para impedir un correcto funcionamiento de un sistema informático: Virus, gusanos o troyanos. Su objetivo es dejar los sistemas inoperativos, caso de los virus, o permitir a los atacantes acceder a los sistemas sin que su legítimo propietario lo sepa para robar información.

Phishing

Es una de las estafas más antiguas de internet, puesto que de hecho antes de internet ya existía porqué se hacía con una llamada telefónica. Pronunciado prácticamente como fishing (pescar), es una técnica que consiste en engañar al usuario haciéndole creer que está en contacto con una persona u organización que confía.

El ataque siempre tiene tres componentes:

1. El atacante llama o envía un email al usuario
2. El atacante se hace pasar por una organitzación con la cual el usuario tiene algún tipo de relación
3. El objetivo es obtener información confidencial: passwords, tarjetas de crèdito etcétera 

Aunqué el atacante puede emplear diferentes canales para intentar engañar al usuario, el más habitual es el email por su coste, pràcticament cero, y que por lo tanto permite enviar millones cada día. El usuario recibe un email de una organitzación que conoce, normalmente un banco o compañía de servicios con el objetivo de obtener información confidencial.

No tenemos que confundir el phishing con el spam (o correo basura). Los dos se basan al enviar emails a personas desconocidas pero el spammer no busca perjudicar al usuario sino que busca atraer visitas, de forma fraudulenta, a su negocio.

Cómo funciona el phishing

Independientemente del canal empleado por el atacante (email, teléfono, sms, whatsapp redes sociales etcétera) el funcionamiento es siempre el mismo: El atacante envía una comunicación con el fin de persuadir a la víctima de que haga click en un enlace (que descargará un software malicioso) para obtener información confidencial o hacer un pago.

El atacante se gana la confianza del usuario puesto que éste cree que realmente la comunicación es con una entidad de la cual es cliente, y que hay que seguir las instrucciones detalladas. Lo consiguen enviando copias prácticamente exactas de los emails de estas compañías y de sus webs.

Estrategias comunes de phishing

Las estrategias para engañar al usuario son practicamente infinitas, y cada día surgen de nuevas, éstas son las más comunes. La idea siempre es la misma, aprovechar una situación real (pero muy poco probable) para hacerse pasar por un tercero:

Problemas de pago

Os informan que algo que habéis comprado en línea no se puede enviar puesto que hay un problema con el pago, os instan a hacerlo de nuevo. La página a la que os enviarán para hacer el pago es falsa, y obtendrá los datos de vuestra tarjeta.

Alerta del banco

Muchas entidades bancarias alertan a sus clientes si detectan alguna actividad fraudulenta o hay un pago poco común. Esto es aprovechado por los ciber delinquents para enviar un email informando de esta situación y que para “impedir” el pago hay que confirmar el usuario y la password del banco. Dónde estás confirmando estos datos no es la página del banco, sino una muy parecida que los delincuentes han falsificado. Ya tienen tu usuario y tu password.

Ha recibido un premio

El atacante envía un comunicado que intenta hacerle creer que ha ganado un premio, para cobrar el supuesto premio hará falta que de los datos de su tarjeta de crédito, donde supuestamente le ingresarán el dinero.

Como detectar el phishing por email

Cada vez los atacantes van refinando más y más sus emails y últimamente consiguen imitar muy bien los emails legítimos, a continuacio le enumeramos algunas formas de detecar el engaño:

Hace referencia a una empresa con la que nunca ha trabajado

Si recibe un email de una empresa que nunca ha sido cliente y le pide que confirme los datos de acceso, es un correo de pishing.

Lenguaje pobre y faltas de ortografía

Un banco o una empresa no envía emails con faltas de ortografía o gramaticales. Muchas veces los ciberdelinquents no hablan su lengua y usan traducciones automáticas de poca calidad.

Ofertas muy buenas

Si recibimos una oferta que de tanto buena parece imposible, muy probablemente sea mentida y forma parte de un email de pishing. No se deje engañar.

Crean urgencia

Los emails de pishing acostumbran a jugar con la urgencia: ya sea la última oportunidad antes de cerrarle la cuenta, o de poder acceder a una oferta jugosa. No caiga en la trampa de “miedo a perder algo” (FOMO en Inglés). Ninguna entidad legítima, ya sea del gobierno o privada, le enviará un comunicado de este tipo.

Enlaces con errores

Si pasáis el cursor del ratón por encima del link (no lo cliques nunca), podréis ver que se asemeja al real pero es diferente. Hay pero pishings muy elaborados, tened cuidado!.