¿Quién nos protege?: Phishing y la seguridad
Con el avance de las tecnologías muchos somos los que pensamos que el día a día es mucho más sencillo, podemos hacer que te traigan un menú completo a domicilio deslizando el dedo sobre nuestros smartphones, controlar tu hogar con una aplicación o incluso pagar en un establecimiento con tu rostro – al menos en China, de momento.
A medida que esto crece es inevitable que expongamos todos nuestros datos a estos fines. Tenemos cuenta en Amazon, en Google, en Apple y, probablemente, hasta en Mercadona.
La verdad, todo esto está muy bien pero, ¿hasta qué nivel están nuestros datos personales seguros? Nadie dudaría de la integridad ni de la alta seguridad de estas empresas. Cada vez que nos registramos o nos damos de alta en algún servicio se nos detalla una fabulosa Biblia de protección de datos que cualquiera que quiera disfrutar del servicio acepta sin detenerse demasiado. Las empresas nos aseguran que son responsables, pero no es así: las empresas son responsables del tratamiento de tu información personal, no directamente de lo que ocurra realmente con ello. Trabajan día a día para ofrecernos mejores dispositivos, mejores servicios y mayores recursos, mientras que el consumidor se adapta a ello, llevando en su dispositivo móvil toda su información personal, la dirección de su vivienda, de su trabajo, sus cuentas, las fotografías de su gato, las tarjetas bancarias, el trabajo final de grado, las conversaciones con su pareja o las citas con su médico.
¿Qué ocurre si pierde o le roban todo eso? No nos engañemos, un móvil hoy en día no es solo cuatro contactos, una tarjeta SIM y unas pocas canciones. Se trata de una concentración masiva de nuestra intimidad, un ladrillo de lujo bastante más transparente de lo que pensamos. Y lo llevamos con nosotros tranquilamente en nuestro bolsillo allá donde vayamos. Porque claro, lo protegemos con una dirección de correo y una contraseña, un DNI y un código, o una huella dactilar. Y esta información no es tan sencilla de atentar, ya que no sólo se están mejorando las tecnologías, sino también los ataques cibernéticos.
Mismamente hasta hace no mucho, la Comisión Nacional del Mercado de Valores sufrió un intento de ataque phishing. Se trata de uno de los métodos más utilizados por estos delincuentes informáticos con el fin de obtener información confidencial de los usuarios, haciéndose pasar por una persona física para enviar correos o mensajes a través de aplicaciones como Whatsapp, iMessage o Telegram, incluso llamadas telefónicas. En el caso de la CNMV, se trató de un correo fraudulento, por lo que trató de advertir a los usuarios de que no facilitasen ningún dato personal si recibían algún correo del estilo. Y como no hubiesen tenido un protocolo de seguridad frente a este tipo de ataques, se les hubiese caído el pelo. Sin embargo, si los terroristas informáticos lo hubiesen conseguido, los usuarios hubiesen sido lo más afectados, como en el caso de British Airways, que también ha recibido recientemente un ataque de este tipo confirmando que los datos financieros de los usuarios se han visto comprometidos.
La organización está investigando urgentemente este problema, sin embargo, quien de verdad tiene el poder de proteger los datos de los clientes en este momento son, irónicamente, ellos mismos, contactando con sus bancos y siguiendo las recomendaciones que les faciliten.
Cierto es que la empresa no tiene la culpa exclusiva de todo el problema, pero eso no implica que pueda lavarse las manos en este asunto. Y si es tan sencillo suplantar la identidad de una organización tan imponente como British Airways, ¿qué nos asegura que mismamente tú, tras la pantalla de tu dispositivo, no vas a ser engañado? ¿Y qué ocurre si en el mismo metro de camino al trabajo te das cuenta de que tu móvil ya no está contigo? Yo si fuese tú, tendría la alerta de la desconfianza al máximo.
Tampoco podemos dejarnos llevar por el miedo, debemos continuar con nuestro día a día y disfrutar de todo lo que la tecnología nos ofrece, pero sí que debemos tomar las precauciones suficientes para evitar ser engañados.
Hace no relativamente mucho este tipo de ataques eran, para aquel que estaba más familiarizado con el mundo de Internet, algo evidentes: no tenían el certificado de seguridad, el contenido del texto contenía faltas de ortografía o no tenía relación sintáctica, el enlace web a priori no era idéntico al real o simplemente no tenían el aspecto de la entidad a la que estaban suplantando.
Las cosas han cambiado a día de hoy: las páginas a las que suplantan son sino, idénticas, prácticamente iguales. Se trata de una especie de máscara con la imagen de la entidad real, siendo realmente una página falsa a la que accedes mediante un e-mail de tu banco acerca de una supuesta transferencia que acabas de realizar, de la organización con la que vuelas para pedirte los datos de reserva o a través de un mensaje que afirma que tu móvil perdido ha sido localizado. Estos delincuentes se harán con los recursos que ni te imaginas para robarte, saber tu nombre completo, vivienda, DNI y hasta el número de teléfono de tu familia. Así que por muy real que parezca, desconfía si de alguna manera te vuelven a pedir tus credenciales. Una organización no hará esto nunca, a pesar de que parezca ser exactamente la misma página. Para resolver las sospechas, accede desde tu navegador e inicia sesión desde la página web oficial de la entidad, llama al teléfono de contacto y si descubres que es un fraude, denúncialo.
Realizar este tipo de ataque es relativamente barato y sencillo, comparado con el beneficio y el porcentaje de éxito que obtienen además de que distinguir un fraude de una entidad legítima puede no resultar evidente para el usuario cuando el mismo es cliente de la propia organización y como añadido, saben sus datos de contacto, su nombre y teléfono asociados.
Este es un ejemplo real de phishing de un iPhone robado. Pongámonos en situación, el dispositivo se encuentra apagado y en modo perdido. Los delincuentes contactan con el usuario a través de un mensaje, prácticamente igual o similar al que te enviarían en caso de ser encendido.
Mensaje recibido a través de iMessage
Visualización del enlace real mientras carga la página
Página web fraudulenta, prácticamente igual a la real
Como podemos comprobar, la página web es exactamente igual a la oficial, a diferencia de que el enlace real que te lleva a la página es login-icioud.com en lugar de login-icloud.com. Si el usuario pulsa sobre “Buscar mi iPhone”, el sitio web te pide las credenciales de tu ID de Apple. De esta manera consiguen información para, lo primero, borrar el dispositivo de tu lista para no poder localizarlo y por tanto, no poder localizarles a ellos y, lo segundo, obtener información para desbloquearlo y poner en riesgo tu información. Cabe destacar que el usuario recibió llamadas pidiéndole datos de contacto y mensajes de publicidad, a lo que nunca contestó. Sin embargo no es sencillo no dejarse llevar por la emoción de que tu móvil se ha localizado, a pesar de que iSupport no exista como tal. Es importante que si esto ocurre, nunca facilitemos absolutamente ningún dato, ni si quiera pulsemos sobre ningún enlace.
Así que volviendo a la pregunta inicial, ¿quién nos protege?, no existe otra respuesta que nosotros. Nosotros como usuarios somos los únicos que podemos protegernos frente a estos ataques. Las organizaciones no harán otra cosa que informarte de cómo puedes prevenirte y disculparse. Debemos disfrutar de los servicios que la tecnología nos ofrece pero estando siempre informados de cómo actuar frente a estas situaciones, ya que en el momento más inoportuno y de la manera más simple tu seguridad se puede ver afectada.