Aplica estos consejos de ciberseguridad para protegerte ante posibles amenazas

Boletín de ciberseguridad

Esta semana, el boletín de ciberseguridad de INCIBE ha informado de la detección de campañas de envío de SMS fraudulentos (smishing) que suplantan a numerosas entidades bancarias. El objetivo es dirigir a la víctima a una página web falsa que simula ser la web legítima para robar sus credenciales de acceso al servicio de banca online e información personal.

Además, el servicio ‘Tu Ayuda en Ciberseguridad’ de INCIBE atendió 69.211 consultas a través del 017 y de sus diferentes canales de contacto, durante el año 2021. El servicio continuó creciendo respecto del año 2020, incrementando el número de dudas en más del 68% (47.503 durante el ejercicio anterior) debido al auge del uso de la tecnología por usuarios, empresas y menores.

Por otro lado, INCIBE ha publicado un artículo para que todos los usuarios puedan aprender a identificar los riesgos que existen en el ciberespacio y los mecanismos de protección que tienen a su disposición para no ser víctimas de los ciberdelincuentes.

Otros contenidos: 

Para más información, consulta el boletín completo en la sala de prensa de la web de INCIBE

El servicio ‘Tu Ayuda en Ciberseguridad’ de INCIBE gestionó más de 69.000 consultas durante 2021

Balance 2021 de Tu Ayuda en Ciberseguridad

Entre las preocupaciones de los usuarios destacaron los casos de grooming, de SMS fraudulentos y de los correos tipo phishing.

El servicio ‘Tu Ayuda en Ciberseguridad’ de INCIBE, entidad dependiente del Ministerio de Asuntos Económicos y Transformación Digital, a través de la Secretaría de Estado de Digitalización e Inteligencia Artificial, atendió 69.211 consultas a través del 017 y de sus diferentes canales de contacto, durante el año 2021. En concreto, 47.485 por vía telefónica; 13.902 a través de los canales de chat de WhatsApp (900 116 117) y Telegram (@INCIBE017), puestos en marcha en mayo del pasado año; y 7.824 mediante el formulario web. Este servicio, gratuito y confidencial, en horario de 9 de la mañana a 9 de la noche los 365 días del año, está gestionado por profesionales que ofrecen asesoramiento técnico, psicosocial y legal, dependiendo de la temática de la consulta.

El servicio continuó creciendo respecto del año 2020, incrementando el número de dudas en más del 68% (47.503 durante el ejercicio anterior) debido al auge del uso de la tecnología por usuarios, empresas y menores. Cabe destacar que desde el 11 de febrero de 2020, día en que se puso en marcha el 017, el servicio ha atendido más de 115.600 consultas

Así, en este segundo año, el servicio ha seguido consolidándose gracias a la campaña publicitaria #HoyEsUnAnuncio, lanzada en junio y en septiembre de 2021, con el objeto de sensibilizar y concienciar a la sociedad tras incorporar los nuevos canales de contacto a través de mensajería instantánea, que han mejorado la accesibilidad para públicos, como las personas sordas. Así, se ha alcanzado un promedio de más de 1.345 consultas semanales.

En cuanto al tipo de atención prestada, la mitad de las consultas tuvieron un asesoramiento reactivo, es decir, los usuarios contactaron con INCIBE una vez han sufrido un incidente. Y la otra mitad, recibió ayuda de manera preventiva y se resolvieron sus dudas antes de que llegara el problema.

Temáticas más consultadas

En las consultas recibidas por los ciudadanos, se detectó un repunte del envío de SMS fraudulentos (smishing) suplantando, sobre todo, la identidad de empresas de logística. Además, uno de los temas que más preocupó a los usuarios fueron los fraudes online relacionados con el phishing, que alcanzó el 23,7% de las consultas atendidas. Le siguió de cerca la suplantación de identidad, con un 16,1%; y el falso soporte técnico con un 7,7%. Si hablamos de otras dudas en ciberseguridad, destacaron la sextorsión; otros fraudes online, como por ejemplo las tiendas falsas; la intrusión o hackeo de dispositivos o cuentas; las llamadas fraudulentas; el fraude en compraventa; y la desinfección de dispositivos.

En el público de los menores y su entorno (padres y educadores) destaca la creciente preocupación por la privacidad y reputación en las redes sociales e Internet, con un 31,4% de las consultas recibidas por este colectivo, el ciberacoso escolar (12,5%) y la protección de dispositivos (11,1%). Completaron el ranking los fraudes online, el sexting, los contenidos perjudiciales y la mediación parental, entre otras temáticas. 

Para finalizar, las empresas recurrieron a este servicio para preguntar dudas sobre extorsión a través del correo electrónico, con un 16,4% de las consultas. En segundo lugar destacó, con un 13,3%, la concienciación de los empleados y las buenas prácticas en ciberseguridad. Y en tercer lugar, la suplantación a través de redes sociales, con un 10,7%. Completan la lista de los temas más recurrentes: las llamadas fraudulentas, tanto de extorsión, como de estafas; el ciberataque tipo ransomware; las incidencias enviadas por correo; la protección de datos; y otros malware que pudieran afectar a la actividad de la empresa.

Perfil del usuario atendido

Casi todas las consultas de los ciudadanos que recurrieron al 017 pertenecen a adultos de entre 25 y 65 años (79%). El 21% restante se repartió entre los mayores de 65 años, los jóvenes de 18 a 24 años y otros colectivos.

Por otro lado, más de la mitad de las consultas, un 49%, las realizaron las familias, seguidas de los adolescentes de 12 a 18 años, con un 13%, y de los educadores, con un 11%. El resto de dudas procedieron de profesionales del ámbito del menor, jóvenes de 18 a 24 años y otros colectivos.

Finalmente, el 42% de las consultas se centraron en los servicios profesionales, seguido en menor medida por el comercio minorista (12%), la industria (6%) y la educación (3%). Otros sectores con preocupaciones sobre ciberseguridad fueron la Administración, el ocio, las asociaciones, la salud, el comercio mayorista, las empresas de ciberseguridad, la logística y la construcción.

Descarga el balance
Tu Ayuda en Ciberseguridad 2021

Enlace a la noticia del Incibe: https://www.incibe.es/sala-prensa/notas-prensa/el-servicio-tu-ayuda-ciberseguridad-incibe-gestiono-mas-69000-consultas

Historias Reales: un deepfake de mi jefe circulando por la Red

Mano saliendo de la pantalla de un ordenador

Es miércoles y Luis, el director de marketing de una empresa de refrescos, se levanta de la cama y lo primero que hace es mirar el teléfono. La semana que viene tiene un congreso y tiene mucho trabajo por delante.

Al mirar el teléfono ve que la empresa tiene infinidad de menciones en Twitter.
“¿Qué pasará?”, dice para sí mismo Luis mientras abre la red social.
Al entrar y ver las menciones, todas ellas criticando a la empresa, se da cuenta que tienen algo en común: hacen referencia a un vídeo.
Tras pulsar en el enlace del vídeo para ver lo que es se queda con la boca abierta, ¡es un video de Fernando, CEO de la propia empresa, hablando mal del producto y criticando a los clientes que lo consumen!
Acto seguido recibe un mensaje de Fernando:

Conversación Whatsapp

Tras coger el coche y subir a la oficina entra al despacho de Fernando. Se lo encuentra con las manos en el cabeza apoyado en la mesa. 

– Luis: ¿Qué ha pasado? ¿Qué es esto? – dice mientras le enseña el vídeo. 
– Fernando: ¡Por supuesto que no soy yo! Jamás diría algo así. ¡Eso es falso!
– Luis: Ya lo sé Fernando, pero en el vídeo sales tú, con tu cara, tu voz… ¡Hasta tus gestos! ¿Cómo han hecho esto?
– Fernando: No tengo ni idea, hay que desmentir esto como sea, se va a hundir la empresa. Además, tenemos un congreso la semana que viene, ¿cómo voy a dar una ponencia después de esto? – dice mientras mira el vídeo.

¿Qué ha ocurrido?

Un ciberdelincuente ha elaborado un deepfake de Fernando, el CEO de la empresa, utilizando su cara y su voz para dañar la reputación de esta.

El deepfake es una técnica que permite superponer en un vídeo el rostro de una persona en el de otra, añadiendo su voz y sus gestos para que parezcan los de la persona suplantada.

Pantalla de un ordenador donde se simula un deepfake

Deep en el acrónimo deepfake viene de Deep Learning, es decir, aprendizaje profundo, que es un campo de la inteligencia artificial. Hay dos tipos de deepfakes que utilizan algoritmos de Deep Learning:

  • Deepvoice: uniendo fragmentos de voz de la víctima se replica su voz para decir otro mensaje. El resultado es muy convincente, por lo que los ciberdelincuentes podrían hacerse pasar por alguien en una llamada de teléfono o en un mensaje de voz. 
  • Deepface: uniendo fragmentos de contenido multimedia en los que aparezca la víctima se consigue suplantar la cara de esta y sus gestos. Unido al anterior los ciberdelincuentes pueden suplantar a una persona en videollamadas o vídeos en general.

Esto supone un gran riesgo para la empresas, ya que modificando solo la voz, un ciberdelincuente podría realizar llamadas en nombre de la directiva de una empresa, incluso a nivel interno, autorizando transferencias, asignando permisos a usuarios o tomando cualquier tipo de decisiones perjudiciales.

¿Cómo estar preparado ante un deepfake?

Evitar que nos suplanten con un deepfake no está al alcance de la persona ni de la empresa, más aún en estos tiempos en los que utilizamos nuestra imagen y nuestra voz para todo tipo de acciones comerciales. No obstante, sí se pueden seguir algunas medidas proactivas para mitigar los daños que podría ocasionar:

  1. Monitorizar las redes sociales: es muy importante llevar un control, ya no solo de las menciones a la cuenta de la empresa, sino de los hashtags o localizaciones de la empresa.
  2. Establecer un plan de crisis: en caso de que esto suceda, es aconsejable tener preparado un plan para hacerle frente, frenarlo y reaccionar a tiempo y con contundencia.
  3. Formar y concienciar al personal para detectar suplantaciones: sobre todo a aquellas personas que trabajan en puestos relacionados con pagos o que gestionan servicios clave para la empresa.
  4. Tomar precauciones cuando se usen videoconferencias.
  5. Actualizar los procedimientos de pago: de forma que todos los pagos tengan que ser autorizados por correo electrónico o de forma presencial y nunca por teléfono. Además, en caso de ser pagos mayores, que sean autorizados por más de una  persona en la empresa. 
  6. Contratar un seguro: verificando que tenga cobertura ante fraudes basados en deepfake.

¿Qué hacer si somos víctimas de un deepfake?

Si tu empresa es víctima de un deepfake, estos son los pasos que deberías seguir:

  1. Solicitar a la cuenta que lo subió que lo borre: si llevamos una correcta monitorización de nuestras redes, podremos enterarnos de estas situaciones al principio y tomar medidas lo antes posible. En este caso, hay que actuar antes de que el vídeo se expanda por las redes sociales.  
  2. Denunciar lo ocurrido ante las Fuerzas y Cuerpos de Seguridad del Estado (Policía o Guardia Civil) para que los hechos puedan ser investigados. No todos estos casos llegan a ser esclarecidos, pero servirá para poner de relevancia la problemática asociada a estos casos.
  3. Notificar el incidente a INCIBE-CERT o ponerte en contacto con Tu Ayuda en Ciberseguridad de INCIBE si precisas más información sobre este tipo de incidentes.

La realización de comentarios negativos o falsos sobre una organización puede tener consecuencias legales. La legislación española contempla acciones tanto civiles como penales dirigidas a proteger el honor y reputación de la empresa.

A pesar de las medidas reactivas a aplicar (retirada de comentarios, acciones legales, etc.), la capacidad de difusión de estos canales aumenta el daño sobre la reputación online de las entidades.

Volviendo al caso de la historia real, la campaña de descrédito que sufrió la empresa de Fernando implica que su negocio se vea seriamente afectado al perder clientes.


Por último, es necesario tener en cuenta que la información en Internet no desaparece con el tiempo. La acción de los buscadores, que muestran a menudo informaciones pasadas, pueden tener consecuencias negativas sobre la valoración que los internautas tienen de las empresas, al hacer que determinados hechos sigan generando un impacto negativo a pesar de estar solucionados.

Enlace a la noticia: https://www.incibe.es/protege-tu-empresa/blog/historias-reales-deepfake-mi-jefe-circulando-red

Campaña de correos fraudulentos para intentar robar tus credenciales

Desde INCIBE hemos detectado una campaña de correos maliciosos de tipo phishing cuyo objetivo es robar las credenciales de acceso, usuario y contraseña, del correo de la empresa. El asunto identificado es «Equipo de cuentas de Microsoft». En dicho correo, los ciberdelincuentes indican que la cuenta será cancelada ya que se han estado ignorando los mensajes de actualización enviados.Solución: 

En caso de recibir un mensaje con las características descritas en este aviso es recomendable eliminarlo directamente y poner en conocimiento de los compañeros el intento de fraude para evitar posibles víctimas.

En el supuesto de haber facilitado las credenciales de acceso es recomendable modificarlas lo antes posible, y siempre que se pueda habilitar un doble factor de autenticación. También se deben modificar estas credenciales en cualquier otro servicio en el que se utilicen las mismas.

Como pautas generales, para evitar ser víctima de fraudes de este tipo se recomienda:

  • No abrir correos de usuarios desconocidos o que no haya solicitado: hay que eliminarlos directamente.
  • En caso de que el correo proceda de una entidad bancaria legítima, nunca contendrá enlaces a su página de inicio de sesión o documentos adjuntos. 
  • No contestar en ningún caso a estos correos.
  • Tener precaución al seguir enlaces o descargar ficheros adjuntos en correos electrónicos, SMS, mensajes en WhatsApp o redes sociales, aunque sean de contactos conocidos.
  • Tener siempre actualizado el sistema operativo y el antivirus. En el caso del antivirus, comprobar que está activo.
  • Asegurarte de que las cuentas de usuario de tus empleados utilizan contraseñas robustas y sin permisos de administrador.

Además, para prevenir y reforzar estos consejos, es importante realizar acciones de concienciación en ciberseguridad entre los empleados.

¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines, al canal de Telegram @ProtegeTuEmpresa, al perfil de twitter @ProtegeEmpresa o síguenos en Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición la Línea gratuita de Ayuda en Ciberseguridad de INCIBE, 017; y nuestros canales de chat de WhatsApp (900 116 117) y Telegram (@INCIBE017), o mediante el formulario web.Detalle: 

En la campaña identificada, los ciberdelincuentes tienen como objetivo robar las credenciales de acceso de la cuenta de Microsoft. Utilizando técnicas de ingeniería social, los ciberdelincuentes persuaden a la víctima para que acceda al sitio web malicioso donde se robará la información. En este caso, el gancho utilizado es la cancelación de la cuenta por ignorar unos mensajes de actualización. Para dar credibilidad al mensaje, este simula proceder del administrador del correo.

Correo de phishing suplantando a Microsoft

Al acceder al enlace incluido en el correo electrónico, lleva a una página donde suplantan a la web Outlook Web App.

Web spoofing suplantando a Outlook Web App

Una vez introducidas las credenciales en la web, estas quedarán en manos de los ciberdelincuentes.

Enlace a la noticia: https://www.incibe.es/protege-tu-empresa/avisos-seguridad/campana-correos-fraudulentos-intentar-robar-tus-credenciales

Nueva campaña de correos con adjuntos maliciosos

Recursos afectados: 

Cualquier empleado o autónomo que se comunique con clientes y proveedores a través del correo electrónico.

Descripción: 

Desde el servicio de respuesta a incidentes de INCIBE-CERT se ha detectado una campaña de envío de correos fraudulentos en los que se pretende que el receptor del mensaje se descargue un adjunto malicioso que podría infectar el equipo con un tipo de malware que roba información como: credenciales financieras, nombres de usuario y contraseñas y la libreta de direcciones de correo electrónico. Una vez que el malware infecta el sistema podría propagarse a tus contactos.

Dependiendo de la versión del malware con la que se infecta el equipo, este tendría diferentes comportamientos, como por ejemplo infección por ransomware, pasar a formar parte de una botnet, etc.

Los ciberdelincuentes se valen de la ingeniería social para, en este caso particular, engañar al empleado, instándole a revisar un presupuesto o enviando una supuesta oferta que expirará en poco tiempo.

Solución: 

Es importante que ante la mínima duda analicemos detenidamente el correo.

Para evitar ser víctima de este tipo de engaños, te recomendamos seguir estos consejos:

  • No abras correos de usuarios desconocidos o que no hayas solicitado: elimínelos directamente.
  • No contestes en ningún caso a estos correos.
  • Revisa los enlaces antes hacer clic aunque sean de contactos conocidos.
  • Desconfía de los enlaces acortados.
  • Desconfía de los ficheros adjuntos aunque sean de contactos conocidos.
  • Ten siempre actualizado el sistema operativo y el antivirus. En el caso del antivirus, comprueba que está activo.
  • Asegúrate de que las cuentas de usuario de tus empleados utilizan contraseñas robustas y no tienen permisos de Administrador.

Además, es importante realizar periódicamente copias de seguridad. Guárdalas en una ubicación diferente y verifica que se realizan correctamente. De esta forma, en el caso de vernos afectados por algún incidente de seguridad, podremos recuperar la actividad de nuestra empresa de forma ágil.

Enlace a la noticia : https://www.incibe.es/protege-tu-empresa/avisos-seguridad/nueva-campana-correos-adjuntos-maliciosos