Enfrentando el phishing en tiempos del COVID

A principios de 2020, el World Economic Forum estimaba que el impacto global de los ciberataques ascendería a seis billones de dólares en 2021. Pero ese cálculo no contemplaba un aumento inédito de la ciberdelincuencia, como el producido a raíz del COVID-19. 

 

La propagación global del coronavirus también está teniendo su efecto en la Red. El confinamiento ha motivado un mayor consumo de Internet y la adopción del teletrabajo por parte de muchas empresas, algo que no ha pasado desapercibido para unos delincuentes digitales que no descansan. Los organismos de ciberseguridad a nivel nacional e internacional alertan del incremento de fraudes online. Por eso, hoy más que nunca, es necesario estar alerta y contar con herramientas de protección y defensa.

 

Las consecuencias de creerse inmune son nefastas: robo de datos, usurpación de la identidad, injerencia en operaciones, daños en activos físicos... En este "campo de batalla virtual", el sector bancario es especialmente codiciado. Conscientes de ello, la industria financiera, muy activa en materia de ciberseguridad, ha implementado nuevos planes para proteger tanto a profesionales como a clientes.

 

Al respecto, Bankia ha reforzado las labores de concienciación y comunicación a través de los diferentes canales disponibles, como la app de la entidad, el correo electrónico y la banca online, en los que se ha incrementado la actividad acorde a los casos de fraude detectados y las necesidades cambiantes. El plan de Bankia también contempla revisiones técnicas de ciberseguridad, refuerzo de los soportes técnicos y servicios de vigilancia y despliegue de nuevas medidas tecnológicas.

 

La entidad cuenta con un seguro contra ciberataques que cubre las operaciones de sus clientes, incluyendo entre las coberturas la responsabilidad por fallo de privacidad para hacer frente a posibles vulneraciones de datos personales o información corporativa y por fallos de seguridad en los sistemas. Según su director de Seguridad de la Información, Gorka Díaz de Orbe, "la política de Seguridad de Bankia se aprueba en el Consejo de Administración", un claro ejemplo del carácter estratégico que representa.

 

Desde el inicio de la pandemia, el aumento de intentos de ciberataque –con especial foco en correos fraudulentos (phishing), sms (smishing) y llamadas telefónicas (vishing) para obtener credenciales, información personal, etc.– ha evidenciado la importancia de que las empresas cuenten con un seguro de ciberriesgos. Con un tejido empresarial que roza los tres millones de pymes en España, estos trabajadores son un colectivo especialmente sensible a los ataques online. El contacto con ellos para ofrecerles todo tipo de recursos e información en materia de seguridad es una práctica habitual en Bankia. Desde recomendaciones para identificar si una página web es segura, a medidas para proteger sus dispositivos –como tablets y smartphones donde se almacena numerosa información personal y contactos, imágenes, mensajes, ubicación, datos bancarios, etc.–, a consejos para generar contraseñas seguras.

 

 

 

 

De acuerdo con la Agencia de la Unión Europea para la Ciberseguridad (ENISA), el phishing es una de las principales ciberamenazas. El 75% de los estados de la UE han reportado casos de este fraude y más del 72% de las filtraciones de datos en las empresas sitúan su origen en esta práctica.

 

"España es el segundo país en recepción de phishing, un tipo de ataque en el que se puede caer con el sencillo gesto de abrir un e-mail infectado", con el agravante de ser una de las técnicas preferidas de los delincuentes, "pues es muy barata", explica Gorka Díaz de Orbe. 

 

Bankia dispone de un centro de seguridad de prevención y respuesta ante incidentes y con sistemas antimalware y antiphishing para proteger las cuentas de sus clientes. Además, toda la información que se trasmite entre estos y los sistemas del banco a través de Internet utiliza un protocolo seguro, que cifra los datos e impide que un tercero tenga acceso. También realiza una monitorización continua de los sistemas y redes para hacer un seguimiento inmediato de los servicios que presta, y una monitorización del fraude de operaciones sospechosas, contactando al cliente en el caso de detectar la más mínima anomalía, así como test periódicos de intrusión para asegurar que sus sistemas estén libres de amenazas.

 

Con respecto al phishing, la entidad insiste en que nunca solicitará datos personales o bancarios a través del e-mail y aconseja:

 

1/ No acceder al servicio de banca online desde dispositivos públicos, no confiables o estando conectado a una red wifi pública.

 

2/ No abrir correos sospechosos, descargar archivos adjuntos, acceder a enlaces o compartir información solicitada en los mismos.

 

3/ Verificar el remitente y prestar atención a la redacción del correo, pues son muy comunes los errores ortográficos.

 

4/ Desconfiar de cualquier mensaje en el que se ofrece algún premio, beneficio o se intenta forzar con urgencia a realizar alguna acción relacionada con revelar algún dato personal.

 

5/ Ser precavido, mantenerse alerta y utilizar el sentido común.

 

Para las pymes en particular, Bankia añade alguna otra medida para ayudar a proteger la seguridad del negocio:

 

1/ En caso de dudas sobre la identidad real del remitente en un correo, contactar con esa persona o entidad por otro medio, como por ejemplo por teléfono, para comprobar si realmente ha enviado ese mensaje.

 

2/ Tener presente que, a menudo, los ciberdelincuentes se hacen pasar por un superior de la empresa. Para ello, utilizan mensajes y diseños personalizados y cada vez más sofisticados. Esta técnica se denomina "fraude del CEO".

 

3/ Desconfiar de enlaces acortados, de los que se desconoce a dónde redirigen.

 

4/ Si se ha hecho clic en un enlace, comprobar que hay un candado en la barra de navegación y que la dirección comienza por "https" antes de introducir información. Además, comprobar que los datos del certificado corresponden con la entidad que dice ser haciendo clic en el candado.

 

5/ Mantener el sistema operativo y el antivirus actualizados en todos los dispositivos corporativos de la empresa.

 

6/ Concienciar a los empleados, para que sean capaces de reconocer y reaccionar ante este tipo de correos fraudulentos, y poner a su disposición la formación adecuada.

 

7/ Proteger la web de la pyme para evitar una posible suplantación de identidad. Para ello, comprobar periódicamente si figura en alguna lista negra a través de herramientas como Google Transparency Report. En caso de que sea insegura (y una vez solucionado el problema), solicitar un análisis de la misma, por ejemplo en Google Safe Browsing, para que desaparezca de las listas negras y vuelva a ser considerada segura. 

---