Los ciberataques en el trabajo en casa

Imagen: Estrategia y negocios

Ha habido un importante incremento en la ingeniería social y en los ataques conocidos como "pescar" (phishing). Un ataque de "pesca" es aquél donde se nos hace llegar alguna comunicación que parece ser legítima, y nos lleva a algún sitio o nos invita a obtener algún archivo con la finalidad de obtener información bancaria, de acceso a redes o de diferentes índoles con oscuros fines. En la actualidad, estos ataques se están aprovechando de los temores y ansiedades propias de los tiempos que estamos viviendo con el encierro e incertidumbre merced al COVID-19. Es importante mantener la calma y la cabeza muy fría para tener los sentidos alerta ante esta crisis y ataques.

Tales ataques utilizan distintos métodos: suplantación de identidad de algún sitio Web, el phishing de voz (vishing), así como mediante mensajes textuales (smishing), y todos se basan en las mismas tácticas: explotar las emociones humanas. En esta explotación infunden algún sentido de urgencia y se valen de trucos, como ser un impostor de un compañero de trabajo o de alguna autoridad local o global conocida.

Hay muchas razones por las que estos atacantes pueden llevar a cabo este tipo de fechorías, entre ellas: tener acceso a datos organizacionales, acceso a redes, malversación, extorsión, sabotaje, y muchas otras. Entre algunos ejemplos se pueden encontrar los siguientes:

  • Que supuestos proveedores de seguros soliciten unirse a conversaciones e intercambio de datos relacionados con COVID-19.
  • Que se reciban comunicaciones que se supone son provenientes de la Organización Mundial de la Salud (OMS) o de alguna otra autoridad sanitaria.
  • Correos electrónicos que, de manera aparente, provengan de alguien con alguna posición de autoridad en el trabajo, en la escuela, en organizaciones de salud locales o de profesionales en el cuidado de la salud.
  • Peticiones de donación tentativamente provenientes de organizaciones caritativas o "autoridades" que llaman a la concientización de los problemas que estén viviendo personas afectadas por el COVID-19.
  • Supuestos avisos provenientes de "especialistas", "profesionales", "doctores", "víctimas" u "organizaciones" que requieren al receptor que acceda a determinados sitios "expresamente diseñados" a través de alguna "clave cifrada de acceso" que se provee en el mensaje abiertamente.
  • Alguien que proclame contar con información "nueva" o "actualizada" respecto al avance del COVID-19 que se ha adjuntado al mensaje.
  • La ejecución de algún código para poder instalar un software que permitiría tener información actualizada del COVID-19 en su zona.
En fin, puede haber una miríada de este tipo de mensajes que tiendan a aparecer tímidamente o de manera profusa en el correo electrónico, ya sea personal o el de la organización a la que uno pertenezca. ¿Hay algo que se pueda hacer al respecto? Sí, y la mayor parte dependerá de Usted.

  1. Tienda a sospechar de cualquier correo de éstos enviado únicamente a Usted. Verifique el correo del emisor (no responda a él) y valide si, en realidad, es alguien a quien Usted conoce. Si el remitente es alguien a quien Usted conoce, cree un nuevo correo (insisto, NO RESPONDA A ÉL) y pregúntele si esa persona le envió ese correo de manera consciente. Si la respuesta es un sí, pase al punto 2. Si es un no, entonces avísele a la persona que su cuenta ha sido vulnerada y que requiere cambiar la contraseña o reportarla.
  2. Si el mensaje tiene un URL (o hipervínculo o liga), no le haga clic. Coloque su cursor de ratón encima del URL y vea a dónde apunta la ruta completa. Si apunta a algún sitio organizacional que Usted conozca, es altamente probable que el mensaje sea legítimo y que puede Usted entrar sin mayor preocupación. Si apunta a un sitio que Usted  desconoce, informe al emisor o a su área de TI del mensaje (si puede, reenvíelo bajo la advertencia de ser un mensaje sospechoso). No ejecute acción alguna en el mensaje (no lo borre y no haga clic en ningún URL) hasta que reciba algún veredicto proveniente del área de TI. Si se trata de un correo en su cuenta personal, si no reconoce el URL, borre el mensaje. No deje que la curiosidad le venza, bórrelo, vacíe la papelera de reciclaje y punto.
  3. Si el mensaje tiene un archivo adjunto, no lo abra. Vea si en su programa de correo hay alguna forma de verificar que, por ejemplo, si se trata de un supuesto PDF el archivo en realidad sea un PDF. Windows 10 tiene el problema de que no muestra las extensiones conocidas de archivo. Lo mejor es habilitar que aparezcan todas las extensiones de archivo para verificar de que tipo de archivo adjunto se trata. Por ningún motivo abra archivos que tengan alguna extensión ejecutable. Para ver una lista de extensiones de archivo ejecutables, visite: https://fileinfo.com/filetypes/executable 
  4. Si su organización le ha provisto de una Red Privada Virtual (VPN, por sus siglas en inglés), úsela la mayor parte del tiempo posible. Ello reducirá el riesgo de que un tercero invada la comunicación y Usted sea víctima de un ataque de hombre en medio.
  5. En una llamada de conferencia, verifique con lupa que todos los participantes sean realmente los que se espera tener. Si se puede cifrar la comunicación con una contraseña, o si se puede habilitar una "sala de espera" virtual, hágalo. Esto reducirá los riesgos de espionaje en una sesión.
  6. Asegúrese que sus dispositivos domésticos se encuentren al día en actualizaciones. El trabajo en casa requiere que se ponga especial atención en la seguridad para reducir los riesgos de "hombre en medio".
  7. Si es posible, sería adecuado agregar una autenticación multifactor en las cuentas personales. Ello dificultará que un atacante acceda a alguna cuenta. Una autenticación multifactor podría ser tan simple como exigir que el acceso sea verificado a través de enviar un código SMS al celular personal para validar que la persona que quiera entrar a su cuenta sea, en realidad, Usted.
  8. Hay que tener los sentidos muy abiertos ante alguna petición enviada por correo electrónico de que haga algo fuera de lo ordinario. Cualquier petición de este tipo debe ser validada por otros medios, ya sea con su superior o con los superiores de su superior, para evitar caer en una trampa. A veces se inyecta un sentido de urgencia importante en este tipo de mensajes que provocan que se ejecute lo solicitado sin hacer alguna verificación. Venza al impulso de la inmediatez, y valide, verifique, cerciórese.
  9. Tenga actualizado y al día su software de seguridad. Si su software de seguridad es organizacional, es importante asegurarse de saber si fuera de la red organizacional de cualquier forma se actualiza. Si se trata de un uso personal, asegúrese de contar con un software de seguridad. Me atrevo a recomendarle, como medida de refuerzo si es usuario individual, que instale MalwareBytes en su máquina. Este programa cuenta con un interesantes medidas para, incluso, evitar el acceso a sitios de malware o en la lista negra de phishing. No es el único, pero a mí me ha dado buenos resultados (complementa a mi antivirus): https://www.malwarebytes.com.
  10. Si es testigo de algo, comuníquelo. Advierta de cualquier actividad sospechosa a sus superiores. Si es como usuario personal, advierta a sus contactos a través de sus redes (WhatsApp, Facebook, Twitter...) para reducir la posibilidad de que también sean víctimas. Evite asumir que ya todos saben de los posibles riesgos. La verdad es que este ámbito de la seguridad informática sigue siendo uno de los menos explorados y entendidos.
No se trata de una lista exhaustiva, pero sí puede dar una buena idea para reducir los riesgos de seguridad y vulnerabilidades. ¡Nos seguimos leyendo!

Comentarios

Entradas más populares de este blog

Toshiba Satellite T215-SP1004M

Consecuencias de la falta de mantenimiento en el equipo de cómputo

La configuración de la computadora