7 RECOMENDACIONES PARA PROTEGER LA SEGURIDAD DE LAS PYMES

Las pequeñas y medianas empresas (pymes) han surgido en todo el mundo, debido a que suelen ser innovadoras y pueden ser creadas por casi cualquier persona. Desde el año 2000 hasta el 2020, el número de pymes a nivel mundial ha aumentado en más de un 50%, constituyendo en España el 99,8% según del total de las empresas, según el INE.

Aunque la atención mediática suele estar focalizada en las ciberamenazas dirigidas a las administraciones públicas y a las grandes empresas, es importante tener en cuenta las numerosas amenazas a las que se enfrentan las pymes. Cuando las amenazas se dirigen a las pymes, varios factores, como la amenaza de multas reglamentarias, la falta de capacidad de seguridad y de madurez de los procesos para prevenir, defender y responder a las amenazas, así como una cantidad limitada de fondos disponibles, pueden multiplicar el efecto que un ataque puede tener en las operaciones comerciales de una pyme.

Más recientemente, el trabajo híbrido – y la digitalización cada vez más acelerada de las pymes – ha contribuido a aumentar la necesidad de protección de datos, aunque estas siguen estando rezagadas a la hora de comprender y aplicar las mejoras necesarias en materia de seguridad.

Pymes: pequeñas en tamaño pero grandes objetivos de los ciberdelincuentes

Para entender por qué las pymes son el objetivo de tantos ciberataques, tenemos que mirar también a las grandes empresas. Dado que esperan ser atacadas, las empresas suelen tratar de mantener un alto nivel de prevención, supervisión y mitigación. Las empresas no sólo tienen el presupuesto -y la voluntad- para mejorar la seguridad, sino que también tienen el personal de IT para dedicarse específicamente a la seguridad. A diferencia de las grandes empresas, las pymes no suelen tener los recursos (presupuesto y personal) para dar prioridad a la ciberseguridad.

Además de la falta de recursos, las pymes suelen creer que no están en peligro porque no son tan interesantes para los ciberdelincuentes como las grandes empresas. En realidad, las pymes, al igual que las grandes empresas, manejan datos sensibles y pueden convertirse en trampolines para los ciberdelincuentes cuyo objetivo final son las grandes empresas, ya que una pyme puede formar parte de una cadena de suministro que da servicio a dichas empresas.

Consejos para blindar la seguridad de las pymes

Pese a que las pymes estén en el punto de mira de los ciberdelincuentes, existen posibilidades de protegerse y evitar pérdidas que, en muchos casos, ni siquiera podrían afrontar por falta de recursos. Desde ESET te ofrecemos las siguientes recomendaciones al respecto:

  • Es fundamental aplicar en todos los departamentos de la empresa una política de contraseñas fuertes y seguras. Puedes usar un generador de contraseñas para asegurarte de que son muy fuertes y un gestor de contraseñas para no tener que recordarlas todas, solo necesitas memorizar la contraseña master.
  • Contar en todos los dispositivos de la empresa con la autenticación de doble factor.
  • La actualización de todos los programas y soluciones de ciberseguridad que se tengan instalados en todos los dispositivos que se utilizan refuerza la seguridad frente al riesgo de convertirse en debido a una vulnerabilidad previamente conocida.
  • Probar las copias de seguridad y los sistemas de recuperación de desastres. Es importante mantener copias de seguridad offline y en la nube.
  • Es necesario realizar una auditoría del acceso de los usuarios para reducir el riesgo limitando este acceso a los servicios, al software y a los datos para que sólo lo tengan aquellos que lo necesiten.
  • Es importante cerrar los puertos y detener los servicios que no se utilizan y que proporcionan una puerta abierta que puede cerrarse fácilmente.
  • Asegurar que todos los endpoints, servidores, móviles y demás estén protegidos con una solución antimalware actualizada y plenamente operativa.

Fuente Protegerse.com: https://blogs.protegerse.com/2022/03/29/7-recomendaciones-para-proteger-la-seguridad-de-las-pymes/

Cifrado y copias de seguridad de datos

Todos guardamos archivos en dispositivos electrónicos (discos duros, USB, DVD, etc.) que podrían fallar en algún momento provocando la pérdida de la información en ellos almacenada.

Para que no perdamos nuestros datos, pase lo que pase, debemos:

  • Realizar copias de seguridad periódicamente de la información más importante en distintos dispositivos o soportes para que si por algún motivo, uno de ellos falla, podamos seguir teniendo acceso a dicha información desde otros.
  • Utilizar una aplicación fiable que nos proporcione seguridad al realizar las copias.
  • Conocer las ventajas e inconvenientes de la nube si vamos a utilizarla para salvaguardar información y valorar su conveniencia.
  • Utilizar sistemas de cifrado robustos si vamos a copiar o almacenar información sensible o privada, para impedir su lectura a otras personas.
En esta página encontrarás:Una historieta: «El día que Berto creyó haber perdido todas sus fotos»Por qué hacer copias de seguridadCómo hacer copias de seguridadCifra tus datosTambién te puede interesar:Cómo proteger nuestros datos haciendo copias de seguridad (vídeo)¿Almacenar nuestra información en la nube o en el dispositivo? (infografía)Cómo empezar a hacer copias de seguridad (infografía)Qué información hemos de guardar en nuestras copias de seguridad

Carlos

Historieta: «El día que Berto creyó haber perdido todas sus fotos»

Berto fue el primero que se compró una cámara de fotos digital en su entorno familiar hace ya más de diez años. Almacena fotos digitales desde entonces: imágenes de hijos, padres, tíos, sobrinos… y todo tipo de reuniones familiares y viajes. Fue por ello que, ante la inminente celebración del próximo evento familiar, se ofreciera a realizar un montaje fotográfico para verlo en familia y pasar así un buen rato todos juntos con tan gratos recuerdos.

No era la primera vez que recurría a su colección de fotos que guardaba en un disco duro externo para rescatar y compartir alguna de ellas. Pero en esta ocasión, lo que nunca habría sospechado estaba a punto de suceder, el disco daba ¡ERROR DE LECTURA! Era imposible ver ni una sola foto. El disco estaba totalmente inutilizado.

¿Cómo decir a la familia que no iba a poder preparar su reportaje? ¿Cómo decir adiós a tantos y tantos recuerdos de toda una familia? Se dijo: “¿por qué no pensé antes en esta posibilidad?”

Tras la decepción, compartió la noticia en su casa para que todos conocieran la gran fatalidad, pero la voz de Eva le devolvió la esperanza inmediatamente: “no te preocupes, puedes recuperarlas desde mi ordenador”.

Afortunadamente, su hija pequeña las había copiado en su portátil para así poder verlas cuando ella quisiera. Sin saberlo, le había proporcionado a su padre una copia de seguridad.

Demasiado a menudo mostramos un exceso de confianza en nuestros dispositivos electrónicos. Tendemos a pensar que nunca van a fallar y que siempre vamos a tener la información a nuestra disposición. Pero cualquiera que tenga una cierta experiencia con ordenadores u otros dispositivos similares se habrá encontrado alguna vez con una desagradable situación como la de Berto.

La única forma de protegernos ante las pérdidas de información es realizar copias de seguridad de los archivos en otros dispositivos y soportes. Las copias de seguridad, también conocidas como backups, son cada día más importantes y necesarias, pues aumenta el número de dispositivos que utilizamos y el volumen de información que manejamos.


Por qué hacer copias de seguridad

Las pérdidas de información suelen presentarse de manera inesperada y pueden provocar daños irreparables. Las causas por las que podemos perder nuestros archivos más preciados pueden ser de diferente índole:

  • Avería total o parcial de los discos duros, del ordenador o externos. Aunque en ocasiones aparecen síntomas que nos pueden alertar, la mayoría de las veces el fallo es repentino y sin posibilidades de recuperación.
  • La gran variedad de dispositivos móviles que utilizamos (portátil, tableta, smartphone, etc.) hace que aumente la probabilidad de perderlos o que nos lo roben, con la consiguiente pérdida de información.
  • El deterioro físico provocado por el tiempo y el uso afecta también a soportes como los CDs y DVDs.
  • El borrado accidental es otro modo de perder información. No todo podremos rescatarlo de la papelera de reciclaje. Por ejemplo, no podremos recuperar ficheros sobrescritos en el ordenador o archivos eliminados en móviles como Android.
  • Algunos tipos de virus pueden provocar la destrucción o borrado de los archivos y quedar irrecuperables. Un ejemplo de esto es el famoso virus que suplanta al servicio de Correos y Telégrafos.

Más tarde o más temprano podríamos encontrarnos con la desagradable situación de no poder recuperar nuestros archivos.

Cifra tus datos

El cifrado es un método por el que convertimos en ilegible una determinada información o mensaje para que sólo acceda a ella la persona autorizada haciendo uso de una contraseña, código o PIN necesario para descifrarlo.

Para entenderlo mejor, imaginemos que en una frase sustituimos cada una de las letras por la siguiente del abecedario. El texto resultante será con seguridad ilegible, pero si alguien conoce o descubre el método de cifrado podrá descifrar el mensaje, ¿verdad? Pues las nuevas tecnologías permiten utilizar métodos similares a estos pero mucho más sofisticados para cifrar la información.

Cifraremos nuestra información cuando queramos mantenerla a salvo de quien la pudiera encontrar y nos aseguraremos de utilizar un algoritmo de cifrado adecuado y de escoger claves difíciles de adivinar: cadenas de al menos ocho caracteres, que carezcan de significado, con letras, números y símbolos del teclado.

Si olvidamos la clave de cifrado nunca más podremos acceder a la información.

Para cifrar la información utilizaremos programas o aplicaciones específicas. En algunos dispositivos vienen ya instaladas, como por ejemplo BitLocker para Windows, pero también podemos recurrir a aplicaciones externas y gratuitas que podemos descargar de Internet. También existen aplicaciones que cifran contenidos para los teléfonos móviles y tabletas.

Los procesos de cifrado pueden realizarse principalmente sobre dos ámbitos de contenido:

  • El dispositivo o medio de almacenamiento. En este caso se cifra todo un medio de almacenamiento, como un disco duro. No será posible acceder a ninguna información contenida en él sin conocer el sistema de descifrado.
    Este método nos puede llevar mucho tiempo si el número de archivos a cifrar es elevado. También veremos reducida la velocidad de funcionamiento del disco duro, por lo que solo será una opción recomendable si utilizamos dicho disco esencialmente como dispositivo de copia de seguridad.
  • Los archivos y carpetas. Podemos proteger una parte de la información contenida en un medio de almacenamiento, sea un disco duro o la nube. Solo aquellas carpetas o archivos que escojamos para el cifrado serán ilegibles para quien no conozca la clave, y el resto de información será accesible normalmente.
    Por ejemplo, podemos proteger mediante cifrado solo aquellas carpetas donde almacenamos documentos con información personal o archivos que son propiedad de la empresa para la que trabajamos.

Fuente OSI: https://www.osi.es/es/copias-de-seguridad-cifrado

La importancia de las actualizaciones de seguridad

Las actualizaciones son añadidos o modificaciones realizadas sobre los sistemas operativos o aplicaciones que tenemos instalados en nuestros dispositivos y cuya misión es mejorar tanto aspectos de funcionalidad como de seguridad. 

Si no mantenemos nuestros equipos al día nos exponemos a todo tipo de riesgos: robo de información, pérdida de privacidad, perjuicio económico, suplantación de identidad, etc.

Por tanto si queremos disfrutar de las ventajas de la tecnología debemos:

  • Vigilar el estado de actualización de todos nuestros dispositivos y aplicaciones.
  • Elegir la opción de actualizaciones automáticas siempre que esté disponible.
  • Instalar las actualizaciones tan pronto como se publiquen, especialmente las de los sistemas operativos, navegadores y programas antivirus.
  • Ser cuidadosos con las aplicaciones que instalamos, huyendo de fuentes no confiables y vigilando los privilegios que les concedemos.
  • Evitar hacer uso de aplicaciones y sistemas operativos antiguos que ya no dispongan de actualizaciones de seguridad.
En esta página encontrarás:Una historieta: “El día que Leonardo descubrió que los programas también tienen que actualizarse”.¿Por qué son tan importantes las actualizaciones?¿Quién se encarga de publicarlas?Qué debemos hacer ante una nueva actualizaciónAlgunas precaucionesTambién te puede interesar:Ciclo de vida de las actualizaciones (infografía)Consecuencias de no actualizarse (vídeo)Actualizaciones automáticasCómo actualizar el navegadorCómo actualizar los plugins 

Imagen de Carlos con su abuelo Leonardo

Historieta: «El día que Leonardo descubrió que los programas también tienen que actualizarse»

Leonardo entró a casa y pasó al despacho donde tenía instalado el ordenador. Se sentó mientras desembalaba impacientemente el nuevo juego de mus virtual que acababa de adquirir. Arrancó el ordenador y en la pantalla apareció la familiar imagen de arranque de Windows.

Iniciado el ordenador, introdujo el juego en el lector de CD. Lo cerró y esperó a que se abriese el mensaje del instalador. Aceptó todas las opciones y esperó a que terminase el proceso de instalación del juego. Y esperó…porque el ordenador se estaba volviendo insufriblemente lento. Sin duda, este era un caso para su nieto, él sabría qué hacer.

Cuando Carlos se presentó en el despacho, le explicó la situación, y después de investigar durante unos minutos, Carlos le dijo:

  • Abuelo, a este ordenador no le pasa nada. Bueno, nada que sea culpa de la tienda. Lo que pasa es que no tienes actualizado el sistema operativo y es posible que te haya entrado un virus.
  • ¿Cómo? ¿Virus? ¿Actualizar? ¡Pero si lo compré hace menos de un año!
  • Ya lo sé, abuelo. Pero hay que estar pendiente de estas cosas. Continuamente se crean virus informáticos nuevos y hay que estar al día.
  • Pues sí que estamos bien. Ya no sólo tengo que vacunarme de la gripe sino que también tengo que preocuparme de los virus del trasto este…
  • Pues sí, abuelo, que hay que actualizarse, que los programas no son para siempre…
  • Eso antes no pasaba. Entonces se hacían bien las cosas, para que durasen.
  • Abuelo, que es por seguridad… 

El pobre Leonardo no entendía nada. Entonces recordó ciertos mensajes que el ordenador le mostraba en ocasiones acerca de la existencia de actualizaciones, mensajes que siempre descartaba por considerarlos un incordio. Dando por perdida ya su tarde de café y mus se dispuso a escuchar lo que su nieto tenía que contarle…

Y es que, a diferencia de los diamantes, las aplicaciones que instalamos en nuestros equipos no son para siempre. Leonardo descubrió que si quería disfrutar de su ordenador con seguridad debía preocuparse de tenerlo al día.

De la misma forma que las prestaciones y funciones mejoran continuamente, cada día se descubren nuevas vulnerabilidades que permiten que los delincuentes nos roben información, nos espíen, nos causen un perjuicio económico o usen nuestros equipos para fines delictivos.

Afortunadamente, los desarrolladores de software y los fabricantes de equipos trabajan para resolver esos problemas de seguridad tan pronto como se van descubriendo. Esas soluciones se nos ofrecen en la forma de actualización.


¿Por qué son tan importantes las actualizaciones?

Cualquier programa es susceptible de tener fallos de seguridad. Por este motivo, puede necesitar ser actualizado independientemente del dispositivo en el que se encuentre instalado. Esto incluye los programas y sistemas operativos de ordenadores, tabletas, smartphones, consolas de videojuegos e incluso televisiones inteligentes. 

Imagen de un Windows actualizándose

Las actualizaciones de software no son un fastidio. Al contrario, son esenciales para mantener la seguridad de nuestros dispositivos.

Debemos ser conscientes de que en nuestros dispositivos también hay instalados navegadores, programas, plugins, etc. que por supuesto, también necesitan ser actualizados para mantenerlos al día y bien protegidos.

Un caso especial, son las actualizaciones de las herramientas antivirus ya que sólo serán eficaces si están a la última. De nada sirve tener instalado un antivirus si no es capaz de detectar las últimas amenazas que circulan por la red.

Importante, no debemos confundir tener una aplicación actualizada con tener la última versión. Podemos tener instalado y actualizado Microsoft Office 2007 a pesar de no tratarse de la última versión de este paquete de herramientas ofimáticas. Los fabricantes no sólo comercializan nuevas versiones que incorporan mejoras, sino que mantienen un largo periodo de tiempo las antiguas versiones a través de actualizaciones.


¿Quién se encarga de publicarlas?

Las actualizaciones son elaboradas y ofrecidas por los propios desarrolladores y fabricantes. En algunos casos publican los parches (así se llaman también las actualizaciones de seguridad) con gran rapidez. En otras ocasiones, los fabricantes tienen que adaptar los parches a sus dispositivos y el proceso no es tan rápido. En este caso último caso poco podemos hacer más allá de ser conscientes del riesgo y no realizar acciones que nos puedan comprometer hasta que la actualización esté disponible.

Mensajes lanzados por sistemas operativos que indican que es necesario actualizarse

Qué debemos hacer ante una nueva actualización

Hemos de ser conscientes del riesgo que supone utilizar un equipo no actualizado. Una vez que se hace público un fallo de seguridad, cualquiera con los conocimientos adecuados puede utilizarlo para causarnos un perjuicio. Por tanto, todos hemos de adoptar el hábito de mantener nuestros dispositivos al día.

En muchos casos, las aplicaciones y dispositivos disponen de opciones de actualización automática, de manera que las instalan, de forma transparente para nosotros, tan pronto el fabricante o desarrollador las publican. Esta es la opción más recomendada ya que evita que tengamos que estar nosotros pendientes de esta tarea, que en ocasiones resulta un poco molesta.

Captura de pantalla de la ventana que muestra la forma en la que se pueden configurar las actualizaciones en Windows

Para facilitarnos el trabajo, existen herramientas que nos ayudan a saber si nuestros equipos están a la última. Un ejemplo es PSI (Personal Software Inspector), que recopila el software que está instalado en el sistema y alerta de las aplicaciones que no están actualizadas. De esta manera cubrimos aquellas aplicaciones que no poseen un sistema de actualizaciones automático.


Algunas precauciones

Los delincuentes han descubierto que la instalación de parches constituye un nuevo modo de infectar un dispositivo. Por ello ciertos sitios de Internet y ciertas aplicaciones nos ofrecen la instalación de actualizaciones falsas. Al aceptarlas, nuestro equipo quedaría infectado. Por tanto, no debemos instalar nada que no provenga de los canales oficiales que proporcionan los fabricantes y desarrolladores de los dispositivos o el software.

Debemos huir de sitios «pirata», especialmente de aquellos que ofrecen aplicaciones o servicios gratuitos o extremadamente baratos.

Otra situación que debemos tener en cuenta es la instalación o actualización de una aplicación que necesita ciertos privilegios para funcionar correctamente. Es recomendable revisarlos, para evitar que individuos maliciosos que buscan tomar control de nuestro dispositivo puedan usarlos. En cualquier caso, instalemos aplicaciones sólo de fuentes de confianza y siempre revisemos los privilegios por si fuesen excesivos o innecesarios para el propósito a que están destinadas.

Fuente OSI: https://www.osi.es/es/actualizaciones-de-seguridad

Mensajes fraudulentos que suplantan a SEUR solicitándote dinero

Se ha detectado una campaña de emails fraudulentos (phishing) que suplantan la identidad de la empresa de transportes SEUR. El objetivo es redirigir a la víctima a una página que simula ser la web legítima de la empresa de mensajería, la cual solicita al usuario realizar un pago de 2,99 euros en concepto de gastos de envío del paquete.

Recursos afectados

Cualquier usuario que haya recibido el email y haya introducido sus datos personales y los de su tarjeta bancaria en el formulario de la página fraudulenta.

Solución

Si has recibido un correo electrónico de estas características, has accedido al enlace y facilitado tus datos personales y los de tu tarjeta de crédito, contacta lo antes posible con tu entidad bancaria para informarles de lo sucedido.

Evita ser víctima de fraudes de tipo phishing siguiendo nuestras recomendaciones:

  1. No te fíes de los mensajes de usuarios desconocidos o que no hayas solicitado, elimínalos de tu bandeja de entrada.
  2. No contestes en ningún caso a estos mensajes. 
  3. Ten siempre actualizado el sistema operativo y el antivirus de tu dispositivo. En el caso del antivirus, además, se debe comprobar que está activo. 
  4. En caso de duda, consulta directamente con la empresa o servicio implicado o con terceras partes de confianza, como son las Fuerzas y Cuerpos de Seguridad del Estado (FCSE) y la Oficina de Seguridad del Internauta (OSI) de INCIBE.

Además, ten siempre en cuenta los siguientes consejos:

  1. Escribe directamente la URL de la empresa en el navegador, en lugar de llegar a ella a través de enlaces disponibles desde páginas de terceros, en correos electrónicos o mensajes de texto. En este caso en concreto, deberás acceder a la web oficial de SEUR para comprobar la localización de envíos u otros servicios que pone a tu disposición.
  2. No facilites tus datos personales (número de teléfono, nombre, apellidos, dirección o correo electrónico) o bancarios en cualquier página.
  3. No accedas a ningún servicio online que requiera intercambio de información privada o realizar trámites bancarios desde dispositivos públicos o que estén conectados a redes wifi públicas.
  4. Aprende a identificar un correo electrónico malicioso para no ser una víctima de los ciberdelincuentes.
  5. En caso de acceder a un servicio desde la aplicación de la empresa, revisa que tengas instalada la aplicación legítima y los permisos proporcionados.

MUY IMPORTANTE: ninguna empresa envía por correo electrónico solicitudes de pago, donde se soliciten datos personales de sus clientes. Si recibes un correo similar, no facilites ningún dato. En caso de duda, contacta directamente con el proveedor del servicio para asegurarte de la veracidad de la información.

Detalles

La estafa funciona de la siguiente manera: un correo malicioso avisa al usuario de que el paquete está pendiente de ser entregado y se debe confirmar el pago de los gastos de envío (2,99€). Para ello, se facilita un enlace.

Las principales características de este fraude conocido como phishing son:

  1. En líneas generales, la redacción del mensaje es correcta, aunque se detectan errores de puntuación. Es habitual encontrar faltas de ortografía y/o redacciones poco cuidadas, debidas en gran parte al uso de traductores automáticos.
  2. No existe coherencia en el texto, dado que habla de la existencia de un paquete al comienzo y, posteriormente, de una carta certificada.
  3. El pago que se solicita es mínimo (2,99€), hecho que posiblemente haga que más víctimas caigan en el engaño, al no suponer un gran coste económico para el usuario.
Ejemplo de correo fraudulento que suplanta a SEUR

Al pulsar sobre el enlace, el usuario es redirigido a una página que intenta imitar a la legítima, donde se le indica que debe ingresar sus datos y pagar 2,99€ para confirmar los gastos de envío y la dirección de entrega del paquete. Cabe destacar que los campos del formulario son para recabar los datos de los usuarios. En este momento, ya resulta sospechoso que, además de los datos personales, soliciten la fecha de nacimiento.

Formulario web falsa SEUR

Tras pulsar el botón de “Confirmar”, se redirige al usuario a una página que contiene un formulario, donde se solicitan los siguientes datos: nombre completo (de la tarjeta), número de tarjeta, fecha de caducidad y código de seguridad.

Formulario web falsa SEUR

Tras pulsar en el botón “Pagar”, el usuario es redirigido a una página con un formulario, donde se solicita un código que supuestamente le debería llegar por SMS. Esta estrategia se utiliza para dotar de mayor credibilidad al proceso de pago y, aunque el SMS nunca lo recibirá, los ciberdelincuentes ya han cumplido su objetivo, que es hacerse con sus datos de la tarjeta bancaria.

Formulario web falsa SEUR

Tras pulsar en el botón “Confirmar”, el usuario es redirigido a una página que da error, en concreto el mensaje que aparece es: “código incorrecto”. Esta estrategia se utiliza para dar mayor credibilidad.

Formulario web falsa SEUR

Enlace a la noticia del incibe: https://www.osi.es/es/actualidad/avisos/2022/03/mensajes-fraudulentos-que-suplantan-seur-solicitandote-dinero

Aumentan los envíos de SMS fraudulentos que suplantan a entidades bancarias

Aumenta la detección de campañas de envío de SMS (smishing) fraudulentos que suplantan a numerosas entidades bancarias. El objetivo es dirigir a la víctima a una página web falsa que simula ser la web legítima del banco para robar sus credenciales de acceso al servicio de banca online e información bancaria. Los pretextos utilizados en los mensajes intentan alarmar al usuario para que pulse sobre el enlace rápidadamente y siga los pasos que se le indican sin pararse a analizar la situación.

Recursos afectados

Cualquier usuario que sea cliente de una entidad bancaria afectada, acceda al enlace malicioso e introduzca sus credenciales bancarias en el formulario de la web fraudulenta.

Solución

Si has recibido un SMS de estas características, accedido al enlace y facilitado tus datos de acceso (usuario y contraseña), así como cualquier otro dato de carácter personal o financiero, contacta lo antes posible con la entidad bancaria para informarles de lo sucedido y cancelar posibles transacciones que se hayan podido efectuar, bloquear el acceso a tu cuenta, tarjetas y actualizar los datos de acceso al servicio de banca online. 

Además, te recomendamos modificar la contraseña de todas aquellos servicios en los que utilizases la misma clave que para acceder a la banca online. Asegúrate de poner una contraseña distinta para cada servicio online que uses para estar más protegido. 

De manera adicional, comprueba que no tienes activado en tu dispositivo redirección de llamadas a algún número de teléfono sin que seas consciente de ello. En dispositivos Android sigue los siguientes pasos: Télefono > Pulsar sobre los tres puntos situados en la parte superior derecha > Ajustes > Servicios adicionales > Desvío de llamadas. Para los dispositivos iOS, habrá que acceder a los Ajustes > Teléfono > Desvío de llamadas.

Evita ser víctima de fraudes de tipo siguiendo nuestras recomendaciones:

  1. No abras mensajes de usuarios desconocidos o que no hayas solicitado, elimínalos directamente. No contestes en ningún caso a estos SMS.
  2. Ten precaución al seguir enlaces, aunque sean de contactos conocidos.
  3. Revisa la URL de la página web. Si no hay certificado, o si no corresponde con el sitio al que accedemos, no facilites ningún tipo de información personal: nombre de usuario, contraseña, datos bancarios, etc.
  4. En caso de duda, consulta directamente con la entidad implicada o con terceros de confianza, como son las Fuerzas y Cuerpos de Seguridad del Estado (FCSE) y la Oficina de Seguridad del Internauta (OSI) de INCIBE.

Además, ten en cuenta siempre los consejos que facilitan los bancos y entidades financieras en su sección de seguridad:

  1. Cierra todas las aplicaciones o programas antes de acceder a su web.
  2. Escribe directamente la URL de la entidad en el navegador, en lugar de llegar a ella a través de enlaces disponibles desde páginas de terceros, en correos electrónicos o SMS. Recuerda que un banco nunca notifica incidentes de tu cuenta a través de correo electrónico o SMS, incluyendo un enlace a su web en el mensaje.
  3. Si prefieres hacer uso de la app del banco para los distintos trámites, asegúrate de que descargas la aplicación oficial.
  4. Protege tus cuentas. Utilizar contraseñas robustas y sistemas de doble verificación, siempre que sea posible, ya que permitirá añadir una capa extra de protección.
  5. No accedas al servicio de banca online desde dispositivos públicos, no confiables o que estén conectados a redes wifi públicas.

Detalles

Los últimos SMS detectados contienen enlaces fraudulentos a dominios como .ru, .info, .es, .com, .ly, .top entre otros. Para hacer más creible la URL y que no parezca fraudulenta, es posible que aparezca el nombre del banco o palabras como ‘seguridad’, ‘seguro’, ‘cliente’, ‘particular’, ‘ciberseguridad’, ‘incidencia’, ‘reactivación’, ‘cuenta’, ‘verificar’. De esta forma, no le hará sospechar a la víctima de que está ante un fraude.

Es posible que algunos mensajes vengan identificados con el remitente de la propia entidad bancaria, es decir, se suplante el remitente, aunque existen otros casos en los que aparece un número desconocido. Estos mensajes son capaces de añadirse al mismo hilo de mensajes de los SMS legítimos que nos envía el propio banco, por ejemplo con códigos de verificación, un motivo más para que el usuario no sospeche. 

En líneas generales todos los mensajes informan al usuario de que existe algún tipo de problema con su cuenta bancaria y para solucionarlo es necesario que pulse en el enlace facilitado en el SMS. En algunos de los ejemplos mostrados, el mensaje contiene faltas de ortografía y gramaticales, lo que permite hacernos sospechar de estar ante un posible fraude, ya que una entidad de estas características no cometerá ese tipo de errores en su redacción.

Ejemplos de mensajes:

BBVA

  • Por su seguridad, el acceso a su cuenta ha sido bloqueado. Desbloquealo siguiendo nuestro enlace: [URL fraudulenta]
  • BBVA: Un DISPOSITIVO no autorizado ha accedido a su banca digital. Si no reconoce este acceso compruebe inmediatamente: [URL fraudulenta]
  • Estimado cliente, su tarjeta a sido bloqueada por actividades sospechosas, para reactivarla, verifica tu identidad: [URL fraudulenta]
  • BBVA: Un usuario no autorizado esta conectado a su área personal. Si no ha sido usted, verifique inmediatamente: [URL fraudulenta]
  • Nuestro sistema nos alerta de un pre-cargo no autorizado de a 298,99 con su tarjeta. Para anular el pago sigue nuestro enlace [URL fraudulenta]
  • Un dispositivo no autorizado se ha conectado a su cuenta online. Si no reconoce este acceso verifique su identidad: [URL fraudulenta]
  • BBVA: Su cuenta ha sido bloqueada temporalmente por razones de seguridad. Para reactivarla inicie sesión desde el enlace: [URL fraudulenta]
  • INFO: Se ha detectado un acceso no autorizado en su cuenta. Si no lo reconoce, verifique inmediatamente: [URL fraudulenta]
  • Lamentamos informarle que su cuenta ha sido desactivada por seguridad, le rogamos que complete la siguiente verificación: [URL fraudulenta]
  • BBVA Info: Un dispositivo no autorizado esta conectado a su banca online. Si no lo reconoce verifique inmediatamente: [URL fraudulenta]
  • Banco BBVA Informa: Su cuenta ha sido bloqueada por motivos de seguridad para desbloquear entre aquí: [URL fraudulenta]
  • BBVA: Acceso no autorizado en su cuenta online. Si no reconoce este acceso verifique inmediatamente: [URL fraudulenta]
  • AVISO: Se han detectado movimientos no habituales en su cuenta verifique inmediatamente en: [URL fraudulenta]
  • [BBVA]: Por su seguridad, el acceso a su cuenta ha sido bloqueado. Desbloquealo siguiendo nuestro enlace: [URL fraudulenta]
  • [BBVA]: Por su seguridad, su acceso banca digital ha sido bloqueado. Desbloquealo inmediatamente: [URL fraudulenta]
  • [BBVA]: Se ha recibido un cargo de 79,99E en su cuenta por parte de Yoigo S.L. Si lo considera erroneo, proceda a anularlo en: [URL fraudulenta]
  • [BBVA]: Un DISPOSITIVO no autorizado ha accedido a su banca digital. Si no reconoce este acceso compruebe inmediatamente: [URL fraudulenta]
  • [BBVA]: Su cuenta ha sido bloqueada temporalmente por razones de seguridad. Para reactivarla inicie sesion desde el enlace: [URL fraudulenta]
  • Se ha realizado un cargo de 899.99 EUR en su cuenta. Si no reconoce esta actividad, verifique inmediatamente: [URL fraudulenta]
  • Su cuenta ha sido bloqueada po motivos de seguridad pulse en el siguiente enlace para desbloquear: [URL fraudulenta]
  • Un dispositivo no autorizado se ha conectado a su cuenta online. Si no reconoce este acceso verifique inmediatamente [URL fraudulenta]

CaixaBank

  • No se puede utilizar su Tarjeta. Tienes que activar el nuevo sistema de seguridad: [URL fraudulenta]
  • Notificacion de La Caixabank, No se puede utilizar su Tarjeta Debito. Tienes que activar el nuevo sistema de seguridad web: [URL fraudulenta]
  • Caixa: Queremos informarle que su Tarjeta sera suspendida, Debes confirmar tu information clic en el siguiente enlace: [URL fraudulenta]
  • CAIXABANK: Apartir del [fecha] No puedes utilizar su cuenta. Tienes que activar la nueva sistema de seguridad web. Activa ahora: [URL fraudulenta]
  • CaixaBank: Su cuenta ha sido suspendida, La cuenta permanecerá limitada hasta que apruebe su información y se reactivara desde: [URL fraudulenta]
  • CaixaBank – Necesitamos verificar tu cuenta: [URL fraudulenta]
  • Caixabank: Sentimos informarles que su cuenta ha sido bloqueado temporalmente. Para desbloquearla, inicia sesión en [URL fraudulenta] y siga las instrucciones
  • CaixaBank: lamentamos informarle que su cuenta ha sido desactivada por seguridad, para activarla complete la siguiente verificación: [URL fraudulenta]
  • Notification CaixaBank: A Partir del [XXX], No puede utilizar su tarjeta. Tienes que activzar el nuevo sistema de seguridad web: [URL fraudulenta]
  • CAIXABANK:DEBIDO a una actualización hemos tenido que suspender su cuenta, Para desbloquearlos. [URL fraudulenta]
  • Su cuetna ha sido bloqueada temporalmenet por razones de seguridad. Para reactivarla inicie sesión desde el enlace: [URL fraudulenta]

Banco Santander

  • INFO: Acceso no autorizado a su cuenta online. Si no reconoce este acceso verifique inmediatamente: [URL fraudulenta]
  • Se ha detectado in acceso no autorizado en su cuenta. Si no lo reconoce, verifique inmediatamente: [URL fraudulenta]
  • Su cuenta podría quedar inhabilitada, establezca su dispositivo de único acceso mediante el siguiente proceso: [URL fraudulenta]
  • INFO: Acceso no autorizado a su cuenta online. Si no reconoce este acceso verifique inmediatamente: [URL fraudulenta]
  • Banco Santander Informa: Su cuenta ha sido temporalmente bloqueada, para desbloquearla haga clic aquí: [URL fraudulenta]
  • Para evitar que su cuenta sea bloqueada, es necesario instalar nuestra nueva aplicacion de seguridad. [URL fraudulenta]

Ruralvía

  • Caja Rural Partir del [fecha], No se puede utilizar su Tarjeta. Tienes que activar el nuevo sistema de seguridad web [URL fraudulenta]

Liberbank

  • Le informamos que ha recibidio 1 un documento importante, por este motivo se precisa un momento de atención. Accede a su cuenta online en sitio: [URL fraudulenta]
  • LIBERBANK: A partir del XX/XX/XXXX, no puede utilizar nuestros servicios, tienes que activar el nuevo sistema de seguridad: [URL fraudulenta]

Laboral Kutxa

  • AVISO: Un equipo no autorizado esta conectado a su cuenta Laboralkutsa. Si no reconoce este acceso verifique mediante: [URL fraudulenta]

Openbank

  • Se ha iniciado sesión desde un nuevo DISPOSITIVO, si no has sido tu verifica inmediatamente [URL fraudulenta]

Banco Sabadell

  • Banco Sabadell, S.A. Apartir del [XXX] No podrá utilizar su cuenta, Tiene que activar el nuevo sistema de seguridad web desde: [URL fraudulenta]
  • Para evitar que su cuenta sea bloqueada, es necesario instalar nuestra nueva aolicación de seguridad. [URL fraudulenta]
  • Sabadell: Un dispositivo no autorizado esta conectando a su banca online. Si no lo reconoce verifique inmediatamente: [URL fraudulenta]
  • SABADELL: Ha habido un intento de inicio de sesión desde un nuevo dispositivo. Si NO has sido tu, sigue los pasos aqui: [URL fraudulenta]

Abanca

  • A partir del XX/XX/XXXX, No va a poder utilizar su tarjeta, tienes que activar el nuevo sistema de seguridad web: [URL fraudulenta]
  • [ABANCA ]: Su acceso Banca Internet ha sido bloqueada . Para activar su cuenta, puede acceder de forma segura desde: [URL fraudulenta]
  • Por motivos de seguridad, la operativa de su usuario ha sido bloqueada. Para saber mas, siga nuestras instrucciones: [URL fraudulenta]

ImaginBank

  • Imagin: Un dispositivo no autorizado esta conectando a su banca online. Si no lo reconoce verifique inmediatamente: [URL fraudulenta]
  • Su cuenta será inhabilitada debido a un inicio de sesión sospechoso. Para evitarlo verifique mediante: [URL fraudulenta]
  • Aviso: Un equipo esta conectando a su cuenta online. Si no reconoce este acceso verifique mediante: [URL fraudulenta]
Mensaje de texto
Mensaje de texto
Mensaje de texto
Mensaje de texto

No se descarta que se puedan estar utilizando otros mensajes de características similares. Tampoco se descarta que este mensaje pueda estar llegando a través de correos electrónicos fraudulentos (phishing) a dispositivos móviles.

Si accede al enlace, el usuario será redirigido a una página que suplanta a la web legítima. En dicha página deberá introducir sus credenciales (usuario y clave de acceso) para poder acceder al supuesto servicio de banca online. También pueden solicitar datos personales, como el número de teléfono, para dar más credibilidad al proceso de inicio de sesión, pero una vez introducidas las credenciales de acceso los ciberdelincuentes estarán en posesión de los datos y podrán acceder a las cuentas de los usuarios que hayan caído en el fraude.

Además, en los últimos casos identificados, el fraude invita al usuario a llamar a un número de teléfono, bajo algún pretexto como ‘Por motivos de seguridad, requerimos verificar el dispositivo móvil asociado a la cuenta’. Este número contiene un código para activar la redirección de llamadas en el dispositivo y que éstos se desvíen al teléfono al que se llama. De tal forma que al desviarse las llamadas, podrían obtener más información personal de la víctima, si interactúan con personas o entidades haciéndose pasar por ésta. 

Pantalla de información sobre redirección de llamadas de teléfono
Pantalla de información sobre redirección de llamadas de teléfono

¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines o al perfil de Twitter @osiseguridad Facebook. Serás el primero en enterarte de los últimos avisos de seguridad dirigidos a ciudadanos. También ponemos a tu disposición una Línea gratuita de Ayuda en Ciberseguridad de INCIBE: 017 y nuestros canales de mensajería instantánea WhatsApp (900116117) y Telegram (@INCIBE017).

El servicio ‘Tu Ayuda en Ciberseguridad’ de INCIBE gestionó más de 69.000 consultas durante 2021

Balance 2021 de Tu Ayuda en Ciberseguridad

Entre las preocupaciones de los usuarios destacaron los casos de grooming, de SMS fraudulentos y de los correos tipo phishing.

El servicio ‘Tu Ayuda en Ciberseguridad’ de INCIBE, entidad dependiente del Ministerio de Asuntos Económicos y Transformación Digital, a través de la Secretaría de Estado de Digitalización e Inteligencia Artificial, atendió 69.211 consultas a través del 017 y de sus diferentes canales de contacto, durante el año 2021. En concreto, 47.485 por vía telefónica; 13.902 a través de los canales de chat de WhatsApp (900 116 117) y Telegram (@INCIBE017), puestos en marcha en mayo del pasado año; y 7.824 mediante el formulario web. Este servicio, gratuito y confidencial, en horario de 9 de la mañana a 9 de la noche los 365 días del año, está gestionado por profesionales que ofrecen asesoramiento técnico, psicosocial y legal, dependiendo de la temática de la consulta.

El servicio continuó creciendo respecto del año 2020, incrementando el número de dudas en más del 68% (47.503 durante el ejercicio anterior) debido al auge del uso de la tecnología por usuarios, empresas y menores. Cabe destacar que desde el 11 de febrero de 2020, día en que se puso en marcha el 017, el servicio ha atendido más de 115.600 consultas

Así, en este segundo año, el servicio ha seguido consolidándose gracias a la campaña publicitaria #HoyEsUnAnuncio, lanzada en junio y en septiembre de 2021, con el objeto de sensibilizar y concienciar a la sociedad tras incorporar los nuevos canales de contacto a través de mensajería instantánea, que han mejorado la accesibilidad para públicos, como las personas sordas. Así, se ha alcanzado un promedio de más de 1.345 consultas semanales.

En cuanto al tipo de atención prestada, la mitad de las consultas tuvieron un asesoramiento reactivo, es decir, los usuarios contactaron con INCIBE una vez han sufrido un incidente. Y la otra mitad, recibió ayuda de manera preventiva y se resolvieron sus dudas antes de que llegara el problema.

Temáticas más consultadas

En las consultas recibidas por los ciudadanos, se detectó un repunte del envío de SMS fraudulentos (smishing) suplantando, sobre todo, la identidad de empresas de logística. Además, uno de los temas que más preocupó a los usuarios fueron los fraudes online relacionados con el phishing, que alcanzó el 23,7% de las consultas atendidas. Le siguió de cerca la suplantación de identidad, con un 16,1%; y el falso soporte técnico con un 7,7%. Si hablamos de otras dudas en ciberseguridad, destacaron la sextorsión; otros fraudes online, como por ejemplo las tiendas falsas; la intrusión o hackeo de dispositivos o cuentas; las llamadas fraudulentas; el fraude en compraventa; y la desinfección de dispositivos.

En el público de los menores y su entorno (padres y educadores) destaca la creciente preocupación por la privacidad y reputación en las redes sociales e Internet, con un 31,4% de las consultas recibidas por este colectivo, el ciberacoso escolar (12,5%) y la protección de dispositivos (11,1%). Completaron el ranking los fraudes online, el sexting, los contenidos perjudiciales y la mediación parental, entre otras temáticas. 

Para finalizar, las empresas recurrieron a este servicio para preguntar dudas sobre extorsión a través del correo electrónico, con un 16,4% de las consultas. En segundo lugar destacó, con un 13,3%, la concienciación de los empleados y las buenas prácticas en ciberseguridad. Y en tercer lugar, la suplantación a través de redes sociales, con un 10,7%. Completan la lista de los temas más recurrentes: las llamadas fraudulentas, tanto de extorsión, como de estafas; el ciberataque tipo ransomware; las incidencias enviadas por correo; la protección de datos; y otros malware que pudieran afectar a la actividad de la empresa.

Perfil del usuario atendido

Casi todas las consultas de los ciudadanos que recurrieron al 017 pertenecen a adultos de entre 25 y 65 años (79%). El 21% restante se repartió entre los mayores de 65 años, los jóvenes de 18 a 24 años y otros colectivos.

Por otro lado, más de la mitad de las consultas, un 49%, las realizaron las familias, seguidas de los adolescentes de 12 a 18 años, con un 13%, y de los educadores, con un 11%. El resto de dudas procedieron de profesionales del ámbito del menor, jóvenes de 18 a 24 años y otros colectivos.

Finalmente, el 42% de las consultas se centraron en los servicios profesionales, seguido en menor medida por el comercio minorista (12%), la industria (6%) y la educación (3%). Otros sectores con preocupaciones sobre ciberseguridad fueron la Administración, el ocio, las asociaciones, la salud, el comercio mayorista, las empresas de ciberseguridad, la logística y la construcción.

Descarga el balance
Tu Ayuda en Ciberseguridad 2021

Enlace a la noticia del Incibe: https://www.incibe.es/sala-prensa/notas-prensa/el-servicio-tu-ayuda-ciberseguridad-incibe-gestiono-mas-69000-consultas

Recomendaciones para usar las redes sociales y la mensajería instantánea de forma segura

Boletín de ciberseguridad

Esta semana, el boletín de ciberseguridad de INCIBE ha informado de mensajes, a través de WhatsApp, que intentan engañar a los usuarios para que realicen una supuesta encuesta. El texto utiliza como gancho la posibilidad de ganar una cafetera Nespresso, bajo la excusa de la celebración del Día Internacional de la Mujer el próximo 8 de marzo. Posteriormente, les envían una segunda encuesta para ganar una tarjeta regalo de Mercadona por valor de 900€.

Además, INCIBE ha publicado un nuevo bloque en ‘Experiencia Senior’ denominado ‘WhatsApp y redes sociales’, con el objetivo de ayudar a los usuarios a identificar los riesgos a los que pueden estar expuestos y enseñarles a configurar sus aplicaciones de forma segura mediante diferentes recursos, como artículos, vídeos o infografías.

Por otro lado, el 16 de marzo tendrá lugar la tercera edición del curso online de corta duración (NOOC) ‘Medidas para una navegación segura de los menores en Internet’, bajo el hashtag #MenorSeguroEnRed. Su objetivo es facilitar claves a las familias y educadores para acompañar a los menores en la progresiva adquisición de competencias digitales, que les permitan usar los entornos digitales y navegar por ellos de forma segura.

Otros contenidos: 

Para más información, consulta el boletín completo en la sala de prensa de la web de INCIBE

¿Sabías que el 90% de las contraseñas son vulnerables?

Enlace al artículo ¿Sabías que el 90% de las contraseñas son vulnerables?

La mayoría de los usuarios optamos por contraseñas débiles, ya sea por la facilidad para recordarlas o por el desconocimiento acerca de lo fácil que resulta para un ciberdelincuente obtenerlas. Si eres de los que no se lo piensan mucho a la hora de crear una contraseña, es momento de que descubras que más del 90% de las que utilizamos en nuestro día a día son vulnerables. ¿Usas alguna de ellas?

Ordenador seguro

Muchos usuarios que navegan por la Red utilizan contraseñas que son poco robustas y fáciles de adivinar para los ciberdelincuentes. El problema reside en que seguimos haciendo uso de las mismas sin ser conscientes de los peligros que esta práctica conlleva. Contraseñas como “12345” o “password” son solo algunos de los ejemplos de este tipo de claves “sencillas”, que más que aportarnos seguridad, ponen en riesgo todo aquello que estemos tratando de proteger.

¿Por qué seguimos utilizando contraseñas tan sencillas?

El problema reside en la cantidad de claves y combinaciones que, como usuario, debemos recordar. Cada vez que queremos registrarnos en una web o crearnos una cuenta debemos pensar en una combinación nueva de caracteres, y tendemos a repetir la misma contraseña sencilla de siempre para facilitarnos esta tarea. No es de extrañar, por tanto, que la creación de una nueva contraseña cada vez nos suponga una tarea más tediosa, repetitiva y, en muchos casos, una molestia que preferimos evitar lo más rápidamente posible.

Las contraseñas dejan de ser una herramienta de seguridad con la que sentirnos a salvo. Al final, los usuarios prefieren recurrir a claves fáciles de recordar, que son precisamente las más vulnerables.

Sin embargo, por muy tediosa que nos parezca esta tarea, es fundamental para mantener a salvo nuestras cuentas y, por tanto, nuestra información. Los riesgos a los que nos enfrentamos son mucho peores que dedicar ese tiempo extra a crear una nueva contraseña.

¿Cuál es el problema de no usar claves robustas?

Un ejemplo real con el que comprender la magnitud del problema, es el caso de un spambot, un programa destinado a la generación de correos basura o “spam”, y envío masivo de los mismos, que llegó a nuestras bandejas de entrada del correo electrónico afectando a millones de e-mails. Un estudio analizó las credenciales afectadas en busca de patrones de vulnerabilidad, y descubrió que las contraseñas más vulnerables resultaron ser combinaciones sencillas, secuencias consecutivas, repeticiones de un dígito o palabras simples como “password”.

Si quisiésemos hacer un ranking de las más vulnerables, esas serían las primeras:

Top 5 de contraseñas vulnerables

Este tipo de claves, que muchos consideran la mejor opción debido a la facilidad que tenemos para recordarlas, no suponen ningún reto para los ciberdelincuentes, incluso para los menos experimentados, que son capaces de descifrarlas en cuestión de segundos. Siendo conscientes de estas listas de contraseñas “fáciles”, un ciberdelincuente siempre recurrirá a ellas como primera opción a la hora de hacerse con el control de una cuenta de usuario.

Generalmente, utilizarán programas con los que probar automáticamente todas y cada una de las claves antes de recurrir a técnicas más sofisticadas.

No podemos ignorar que el porcentaje sería mucho mayor si no existiesen políticas de seguridad aplicadas por muchos de los servicios de correo electrónico, que obligan al usuario a crear combinaciones cada vez más complejas a la hora de elegir su contraseña.

¿Qué podemos hacer los usuarios?

Según un estudio realizado por la empresa Deloitte, casi el 90% de las contraseñas de los usuarios de todo el mundo son vulnerables a los ataques de los ciberdelincuentes. A modo de pronóstico, dicho estudio defiende que algunas de las medidas que hoy en día consideramos como seguras a la hora de crear una contraseña, como utilizar una combinación de 8 dígitos de números y letras, alternar entre mayúsculas y minúsculas y recurrir a caracteres especiales no alfanuméricos, dejarán de ser tan robustas como pensamos. En poco tiempo, los ciberdelincuentes serán capaces de descifrarlas sin demasiado esfuerzo.

En palabras de Duncan Stewart, Director de investigación y coautor de dicho estudio, este tipo de pautas a la hora de mejorar la seguridad son contrarias al comportamiento humano, que tiende a reutilizar contraseñas y que por tanto, ponen en riesgo nuestra seguridad. Entonces, ¿qué medidas de seguridad adicionales podemos aplicar?

1.Tokens y otros dispositivos de autenticación. La única forma de mantener nuestras cuentas seguras sería la utilización de factores múltiples de autenticación a través de la utilización de “tokens”, el uso de los dispositivos móviles para asegurar la identificación del usuario, tarjetas de crédito o incluso las medidas de seguridad basadas en la biometría.

Existen distintos tipos de tokens:

  1. Basados en hardware (llaveros o tarjetas): muestran en su pantalla la contraseña generada de forma aleatoria para cada proceso de login. Realizan una operación criptográfica al pulsar un botón o conectar el dispositivo.
  2. Basados en software: generan contraseñas de un solo uso a través de una app en el móvil o en nuestro ordenador.
Tipos de tokens

2.Teclados virtuales. Cuando tratamos de acceder a nuestra información privada desde un teclado cualquiera, corremos el riesgo de que sea interceptada por un spyware sino disponemos de las herramientas de protección adecuadas.

Aplicaciones como los keyloggers permiten grabar y compartir con el ciberdelincuente las pulsaciones del teclado mientras escribimos.

Existe una función denominada “teclado virtual” o “teclado táctil” que puede ayudarnos a evitar el robo de nuestros datos personales si creemos que nuestro equipo se encuentra infectado.

Para ello, deberemos activar esta función en nuestro equipo. Generalmente, bastará con utilizar el buscador de nuestro sistema operativo y encontrar la aplicación “teclado en pantalla”, “teclado virtual” o “teclado táctil”.

Ejemplo de un teclado virtual

3.Gestores de contraseñas. Disponemos de varias opciones con las que ordenar y categorizar nuestras claves, como es el caso de los gestores de contraseñas. Son herramientas utilizadas para almacenar y gestionar nuestras claves.

Gracias a este tipo de herramienta se acabó el tener que recordar cientos de usuarios y claves. Únicamente necesitemos los datos de acceso del gestor de contraseñas para acceder al programa. Una vez dentro, podremos organizar los usuarios y contraseñas de todos nuestros servicios como si de una biblioteca se tratase.

Gestor de contraseñas Keepass

¿Utilizas algunas de las contraseñas consideradas como vulnerables? ¿Crees que podrías mejorar algo más la seguridad de tus cuentas? Comparte tus opiniones y experiencias con el resto de los usuarios y mantente atento a las nuevas actualizaciones para mejorar la seguridad de tus contraseñas.

Enlace a la noticia de OSI:

Cuidado con este mensaje de BBVA: se trata de un phising que roba datos personales y bancarios

Los delincuentes suplantan a algunas entidades bancarias para estafas a los usuarios

Mensaje recibido por un usuario./LV

Si alguna vez has recibido este mensaje, ten mucho cuidado porque se trata de una estafa. En el SMS se informa a la víctima de que sus cuentas están desactivadas y que para que vuelvan a ser operativas es necesario que hagan clic en los enlaces que aparecen en el mensaje. Los ciberdelincuentes intentan que sus víctimas hagan clic en el enlace que aparece en el mensaje.

El Instituto Nacional de Ciberseguridad (Incibe) ha denunciado una nueva campaña de phishing que afecta al banco BBVA. Con esta estafa, los criminales intentan obtener los datos personales y bancarios de las víctimas a través de un correo electrónico fraudulento que se hace pasar por la entidad bancaria. El mensaje avisa al usuario de que su cuenta bancaria está bloqueada, pero no debes caer en esta trampa y hacer clic en el enlace para intentar desbloquearla. Este mensaje ha llegado también a personas que no tienen cuenta en este banco.

Son muchos los usuarios que se han quejado de este tipo de mensajes. Las cuentas oficiales de bancos como el BBVA o el Santander han publicado en sus redes sociales un aviso para que los usuarios tengan cuidado si reciben este tipo de mensajes. Los enlaces que se incluyen son normalmente sospechosos desde el primer momento al usar por ejemplo dominios extraños. «No te enviaremos SMS con enlaces, ni te pediremos claves personales», avisaron desde BBVA.

Si has sido víctima de esta estafa, el Incibe recomienda cambiar la contraseña de la banca online, informar al BBVA del suceso y presentar la pertinente denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado. El Incibe recalca no abrir los correos electrónicos que tengan una procedencia desconocida y no contestarlos. Los bancos no incluyen en sus emails los enlaces a la página de inicio de sesión o documentos adjuntos. Lo recomendable es acceder a la banca online a través del área de clientes.

Lo más recomendable es utilizar contraseñas seguras, mantener el antivirus actualizado, revisar que la página web en la que se está navegando es certera y comprobar que los documentos adjuntos o enlaces no sean maliciosos. No solo existen este tipo de estafas, los ciberdelincuentes suelen utilizar argumentos como premios o que ha surgido algún problema en tu cuenta que se puede resolver directamente desde algún enlace.

Estafas por SMS: guía para evitar los virus y robos de información, y qué hacer si te pasa

Te traemos una guía para saber qué hacer cuando recibes un intento de estafa por SMS, con toda la información que vas a necesitar para enfrentarte a ellos. En este texto, vamos a intentar explicarte de la manera más extensa y sencilla posible cómo funcionan estas estafas, para que seas capaz de identificarlas y evitar caer en ellas.

Qué son el Smishing y el SMS Spoofing

Vamos a empezar familiarizándonos con algunos de los términos que vamos a encontrarnos cuando leamos sobre este tipo de estafas. A menudo, puede que encuentres información sobre ellas, pero con una terminología que quizá te confunda o no entiendas bien. Aquí, hay tres términos que debes conocer, los de phishing, smishging y SMS spoofing.

El phishing podríamos decir que es un término genérico con el que nos referimos a varios tipos de estafa, que pueden darse por varios medios diferentes. La palabra significa pescar, y básicamente es ir lanzando engaños de forma masiva con la esperanza de que algunas de las personas a las que les llega pican en ellos.

El smishing es el nombre de una técnica concreta de phishing. Su significado viene a ser el de SMS phishing, o pesca a través de SMS. Por lo tanto, es la técnica que se utiliza para estafarte a través de mensajes de texto haciéndose pasar por empresas o entidades reales, y con la que buscan robar tus datos o infectar tus dispositivos.

Por último, el SMS spoofing son las técnicas para enviar SMS falsificando el remitente de los mensajes, de forma que a ti te aparezca como que te ha llegado un mensaje de tu banco. A veces, tu móvil puede incluso agrupar estos mensajes con los que son reales del banco u otro servicio, haciendo el engaño más peligroso. Para ello, los cibercriminales suelen contratar servicios externos que permiten hacer esto.

Por lo general, las estafas por SMS suelen ser una combinación de Smishing y SMS Spoofing, ya que te intentan engañar mediante estafas por SMS que envían a muchísimas otras personas, y lo hacen haciéndose pasar por otras entidades. La idea es que cuando recibas el mensaje pienses «caray, es un mensaje de mi banco, seguro que es importante». Entonces, esa preocupación por ver quién parece enviarte el mensaje puede hacerte bajar la guardia.

Cómo consiguen los delincuentes tu número

¿Pero por qué te llegan estos mensajes fraudulentos? ¿De dónde han sacado los cibercriminales tu número de teléfono? Y lo que es peor, a veces en los mensajes aparecerá tu nombre o tu DNI, o esos no son datos que le das a cualquiera, y el hecho de que los sepan puede hacer que te creas un poco más que quizá sí son la entidad que dicen ser… cuando realmente no lo son.

Esta información, la suelen obtener de filtraciones de datos masivas, tanto robando datos a grandes empresas como robando los packs de datos que los cibercriminales suelen poner a la venta. Por poner un ejemplo, en 2021 ThePhoneHouse fue hackeado, y robaron datos como nombres, números de teléfono o DNIs de cerca de 13 millones de clientes.

Y como este, suele haber muchos casos. En la última década, los robos masivos de datos a grandes empresas están a la orden del día, y cada año suele haber varios. Por eso, cuando coincide que tú eres usuario o cliente de esa empresa, los cibercriminales pueden acceder a tus datos y utilizarlos, o vendérselos a otros cibercriminales que quieran usarlos y compren packs con datos de cientos de miles de personas para intentar crear una campaña de estafas.

También cabe la posibilidad de que hayas caído en algún otro engaño, alguna trampa de phishing que aparentemente era inofensiva, pero con la que pueden haberte extraído más información que usarán después. Sin embargo, lo común es que simplemente recurran a los datos de filtraciones masivas.

Qué tipo de estafas te pueden llegar por SMS

Bbva

Existen varios tipos de estafa muy comunes que pueden llegarte por SMS, aunque todas empiezan con mensajes SMS en los que un cibercriminal se hace pasar por alguna entidad, servicio u empresa, como un banco o una agencia de transportes, o cualquier otra tipo de empresas. Envían estos mensajes de forma masiva, esperando que coincida que se están haciendo pasar por el banco que usas, o la empresa de la que eres cliente o de la que estás esperando algo.

Además, se te suele hacer creer que ha surgido un problema urgente o que hay alguna amenaza inminente. Por ejemplo, se te puede decir que hay problemas con tu cuenta bancaria, que tu cuenta ha sido suspendida, o que hay problemas con un servicio que tienes contratado o un envío que estás esperando.

Ten en cuenta que a veces los mensajes fraudulentos pueden llegarte al mismo grupo de mensajes donde tienes los reales de la entidad. Esto es así en los ataques más sofisticados en los que el cibercriminal consigue falsificar el remitente para que parezca que realmente es un mensaje de esta empresa.

La idea con esto es preocuparte, y que te pongas nervioso o nerviosa, de manera que la preocupación haga que bajes la guardia, y que la necesidad de solucionar un problema que parece serio haga que vayas inmediatamente al enlace que han compartido contigo mediante el SMS. Porque ese es el punto importante de estas estafas, que siempre te intentarán hacer pulsar sobre un enlace que te lleve a una página fraudulenta que te han diseñado para completar el engaño.

Aquí viene la otra parte importante de este tipo de estafas, y es que el enlace de los SMS te llevará a una página diseñada para hacerse pasar por la web real de la empresa, entidad o servicio que están haciéndote creer que son. Así, tú creerás que una empresa o entidad real te ha escrito diciéndote que hay un problema, y que te han llevado a una web oficial en la que vas a poder solucionarlo.

Por ejemplo, tienes las estafas por SMS bancarias de hace unas semanas. En ellas, se te dice que tu cuenta de banco ha sido suspendida, y que tienes que seguir una dirección que te adjuntan en el mensaje para confirmar tu identidad. Han creado una alarma, y te han empujado a actuar inmediatamente ofreciéndote una solución rápida.

Cuando entres en la web fraudulenta puedes encontrar diferentes cosas, dependiendo del tipo de ataque al que te enfrentes. En todos los casos, repetimos, la idea es que creas que estás en la web real de la empresa por la que el atacante se hace pasar y que sigas las instrucciones de lo que te dicen que hagas.

En algunos tipos de ataque, lo que se te va a pedir es que inicies sesión para robarte tus datos de acceso al banco o a tu cuenta en ese servicio. Si el ataque es muy sofisticado, puede que incluso el atacante use las credenciales de inmediato y te pida por la web fraudulenta que escribas algún tipo de código de confirmación que te llegue por mensaje.

También pueden ser mediante llamadas

También hay otros casos en los que los atacantes vayan más allá del SMS, e intenten estafarte llamándote por teléfono y diciéndote que son de tal empresa, y que necesitan algunos datos tuyos. Por ejemplo, alguien puede llamarte diciéndote que es un empleado de tu banco, y puede decirte tu nombre y tu DNI fingiendo que está comprobando tu identidad.

Como te hemos dicho antes, estos datos pueden haberlos obtenido de filtraciones masivas. Una vez capte tu atención diciéndote el nombre y DNI, ese falso empleado puede decirte cosas como que ha habido un problema, y que van a enviarte un enlace para solucionarlo.

Entonces, ese atacante puede iniciar el proceso de entrar en tu cuenta bancaria con los datos que ya tiene, y cuando el banco te envíe el SMS de confirmación con un código, el atacante te pedirá que se lo des para completar el proceso y entrar en tu cuenta. Ha habido casos en los que se ha hecho haciéndose pasa por un banco, pero esto pueden hacerlo fingiendo ser empleados de cualquier otra empresa en la que tengas una cuenta, incluso en Microsoft o Google.

Qué puede pasar si consiguen engañarte

Si consiguen engañarte con estas estafas, el resultado no será bueno. En el mejor de los casos, puede que ser una estafa sencilla y lo único que hagan sea conseguir más datos personales tuyos a través de algún tipo de formulario. Pero cuidado, porque luego con estos datos, cuando pasen unos meses y te hayas olvidado de todo, puede que intenten una estafa más compleja aprovechando que saben más información sobre ti con la que hacerte creer que son quienes dicen ser.

Pero es más común que lo que busquen es robarte el acceso a tu cuenta bancaria o de ese servicio o empresa por el que se estén haciendo pasar. Son comunes las estafas bancarias con esta metodología, y una vez tengan acceso a tu banco, podrían robarte el acceso y hacer operaciones en tu nombre, como enviar dinero a cuentas pertenecientes a los criminales o a sus cómplices.

También puede haber casos no tan serios, pero donde te roben el acceso a una cuenta importante y luego te pidan un rescate a cambio de poder acceder a ella. O que utilicen esa cuenta para hacerse pasar por ti y estafar a otras personas y amigos tuyos que tienen confianza en ti y en lo que les dices.

Los ataques más sofisticados pueden hacer que te descargues un virus en el móvil, como pasaba con el virus FluBot. En aquel caso, el virus sustituía tu app de SMS para que no detectases lo que hacían en tu nombre, y registraba y recopilaba todo lo que haces y escribes en tu móvil, incluyendo nombres de usuario y contraseñas a sus servicios. Con esto, podían robarte prácticamente cualquier cuenta y cualquier cosa.

Cómo evitar estas estafas

Para evitar estos tipos de estafa por SMS debes tener algunas cosas en mente. Lo primero es que tu banco nunca te va a enviar un SMS con enlaces o pidiéndote tus claves para acceder a la cuenta. Como mucho, te enviarán mensajes informativos, para que luego tú vayas a la página web oficial o a su aplicación móvil a hacer la gestión que sea. Y lo mismo pasa con la mayoría de servicios con información sensible.

Por lo tanto, desconfía siempre automáticamente de cualquier SMS que te pida entrar a un enlace para hacer cualquier tipo de gestión. Da igual si es porque tu casa se está incendiando o por si te han robado dinero, no piques, no entres en ese enlace.

Si te fijas, estos mensajes siempre enviarán enlaces falsos que intentan hacerse pasar por los verdaderos. Esto es algo que es importante saber para poder identificarlos correctamente. Por ejemplo, la URL del BBVA es BBVA.es, y por mucho que haya otros subdominios primero, siempre siempre siempre acabará en bbva.es.

Si la dirección contiene el nombre bbva o bbva.es pero acaba de forma diferente, como bbva.es.engaño.xyz, ese engaño.xyz es el que determina la web a la que accedes, y así identificas que es fraudulenta. Las webs fraudulentas de los mensajes pueden ser calcos idénticos a las reales, y por eso, entres o no entres, es importante revisar siempre las direcciones para comprobar que son la de verdad.

Ebkace

También es importante que seas capaz de reconocer las páginas que recortan enlaces. Si en la dirección hay un símbolo /, todo lo que hay después pertenece a la web anterior. Volviendo al ejemplo, si la web es engaño.xyz/bbva.es, el bbva.es ya no será la página principal, puesto que está después del /.

Y si te quedas con la duda por el mensaje que puedas haber recibido, entra siempre manualmente desde la app o la web oficial del banco o servicio. Vamos, que nunca pulses en la dirección que te envían por SMS, sino que vayas al navegador y escribas manualmente la dirección de tu banco para entrar en él. Si la notificación es real, te aparecerá también en el área de notificaciones de la app o la web de tu banco.

Además de esto, también debes saber que ni un banco ni un servicio importante, nunca te van a llamar por teléfono para pedirte códigos de confirmación ni que les digas ninguna información que te llegue por mensaje. Nunca hagas caso a estas llamadas, por mucho que digan tu nombre, tu DNI, o el nombre de familiares u otros datos sensibles.

Además de esto, una web real de un banco y servicio nunca te va a pedir que te bajes un archivo APK para instalar una aplicación. Lo que hará será enlazar a las tiendas oficiales de Android o iOS para que te bajes su app desde ahí, pero si intentan que te bajes el archivo de la aplicación para instalarlo a mano, seguro que es un virus.

Qué hacer si te han robado con un SMS fraudulento

Nadie es perfecto, y puede que sin quererlo hayas acabado siendo una víctima de uno de estos fraudes. En estos casos, es útil saber qué puedes hacer y cómo denunciar este tipo de estafas o robos. Primero siempre tienes que revisar qué datos pueden haberte robado, y si te han robado información de contacto, información bancaria, o directamente dinero. Si te roban dinero, es importante recopilar todos los datos posibles de la estafa para denunciar.

Si te roban información de contacto

Uno de los mejores escenarios en los que te puedes encontrar con estas estafas es que simplemente les des información de contacto como tu número de teléfono o correo electrónico, además de tu nombre o apellidos. Esto no supone una amenaza inminente, pero son datos que pueden usarse esos datos para futuros ataques, tanto hacia ti como hacia otras personas en tu nombre.

Por eso, si te han robado información de contacto debes estar preparado para que te lleguen más llamadas, SMS o correos fraudulentos en un futuro, y prestar especial atención a posibles mensajes y ofertas que te lleguen para no volver a caer en la trampa y acabar dando información más seria sobre ti.

Si te roban información bancaria

En el caso de que te roben información bancaria, entonces es algo más serio. Si obtienen los datos de tu tarjeta quizá podrían utilizarlos para realizar pagos en tu nombre. Si detectas que ha podido pasar esto, conviene cancelar la tarjeta que haya sido comprometida para evitar que esto pase y pedirle otra nueva a tu banco.

Tanto si te han robado datos bancarios como si directamente ya los han usado para sustraerte dinero, o incluso aunque solo hayas detectado la estafa pero no hayas picado, siempre es de vital importancia que avises a la entidad bancaria. De esta manera, pueden intentar investigar quién es el estafador, y también avisar al resto de clientes para que extremen las precauciones.

Sobre los robos de información bancaria, debes saber que si han sacado dinero con tus datos no podrás recuperarlo. Hay otros casos en los que las noticias son mejores. Si han usado tus datos para realizar pagos en tu nombre en algún establecimiento, puedes contactarlo para intentar obtener una devolución.

Y si se ha hecho una transferencia bancaria en tu nombre, el banco podría cancelarla o revertirla, aunque siempre depende del banco de destino, y de si el estafador ha movido el dinero a una cuenta tercera para que no puedas recuperarlo. Por eso vuelvo a decirte que es importante contactar siempre con el banco y explicarlo todo, para ver si hubiera alguna manera de recuperar el dinero.

Contacta con instituciones suplantadas

Aunque lo hemos mencionado antes, vamos a hacer un inciso para recalcar que siempre es importante avisar a la entidad, servicio o empresa por la que se hayan hecho pasar. Es útil que te pongas en contacto con ellos por correo y redes sociales, y les expliques el tipo de estafa que te han encontrado. Inclsuo si no has picado. Así, estas entidades o empresas podrán investigarlo y/o avisar al resto de usuarios o clientes.

Además, también es muy útil que avises por redes sociales de las campañas de phishing, ya que unos retuits a tiempo pueden hacer que este aviso les llegue a otros usuarios antes de que la empresa o el servicio reaccione, y así puedes evitar que otras personas se vean afectadas.

Si te roban el acceso a una cuenta y servicio

En el caso de que te hayan robado el acceso a alguna de tus cuentas online, entonces tendrás que proceder con los métodos de cada servicio para recuperar el acceso. Por ejemplo, si has hecho la configuración previa necesaria, vas a poder recuperar tus cuentas de AppleGoogle o Microsoft, y también recuperar tu cuenta de WhatsApp y el resto de principales servicios.

Debes tener en cuenta que hay veces en las que estos procedimientos pueden tardar un poco, por lo que es importantísimo avisar a tus contactos mientras no tengas acceso a tu cuenta, para evitar que puedan utilizarla para engañarles haciéndoles pensar que eres tú para hacerles caer en alguna otra estafa o robarles sus datos.

Aquí, si estás leyendo esto porque ya te han robado una cuenta no hay mucho más que hacer, simplemente tendrás que lidiar con los procesos de cada servicio o acudir a sus sistemas de atención al cliente. Pero en adelante, intenta tener activada la verificación en dos pasos en todas las cuentas donde se permita, para que así sea más difícil que te las roben.

También es importante cambiar la contraseña en cuanto recuperes la cuenta, cambiarla en todos los servicios donde repitas esta contraseña, ya que los atacantes podrían intentar acceder a otras cuentas donde repitas el mismo nombre de usuario y contraseña. Esta es solo una de las muchas razones por las que siempre es recomendable no repetir nunca ninguna contraseña en tus servicios online.

Y por supuesto, cuando recuperes una cuenta que te han robado, deberías dar por hecho que te han robado toda la información que haya en ella, como contactos, número de teléfono, correo, o tus fotografías. Por eso es importante que avises a tus contactos por si acaso, y que prestes atención a futuras campañas de phishing.

Denuncia las estafas por SMS fraudulentos

Y también es importante denunciar este fraude a las autoridades, y que así se pueda investigar y consigan encontrar y detener a los responsables. Para esto hay varios caminos. Por ejemplo, puedes plasmar tu denuncia en el formulario online de la Policía Nacional, que está en esta página web. En ella, eligiendo el método de denuncia en línea, se te guiará paso a paso por su formulario donde plasmar la denuncia por phishing.

También podrás denunciar el fraude en la Guardia Civil, en cuyo formulario online podrás interponer denuncias por estafas cibernéticas. En la web a la que accedes, verás que podrás realizar la denuncia de forma presencial, o utilizar su sede electrónica para hacerlo, donde se te exigirá tu firma digital.

Y también puedes contactar con el Instituto Nacional de Ciberseguridad, que tiene varios métodos para denunciar fraudes y ataques digitales. Vas a poder llamarles al número gratuito 017, contactarles por WhatsApp o por Telegram, o usar su formulario web para empresas o particulares.

Enlace a la noticia: https://www.xataka.com/basics/estafas-sms-guia-para-evitar-virus-robos-informacion-que-hacer-te-pasa