En esta nueva campaña de CSIRT-CV hemos puesto el foco en las ciberamenazas que han marcado el pasado año y en las medidas que debemos tomar para vivir un año 2022 ciberseguro.
En 2021 se multiplicaron los casos de robos de datos privados a través del phishing o los ciberataques de ransomware. También las fake news provocaron que se alterara nuestra convivencia, y el ciberespionaje ocasionó importantes pérdidas a las empresas e inestabilidad en los gobiernos.
El objetivo de esta campaña es que conozcáis los tipos de ciberataques más habituales en nuestros días y la mejor manera de evitarlos o hacerles frente. Los propios usuarios de Internet podemos ser la primera barrera que impida que los ciberdelincuentes accedan a nuestros datos privados o a los de las organizaciones con las que trabajamos.
1. Ransomware
Recientemente Karpesky ha publicado que casi el 50% de los ciberataques de 2021 fueron llevados a cabo por ransomware.Uno de los casos más sonados fue en marzo de 2021, cuando el Servicio Público de Empleo Estatal (SEPE) fue atacado por el ransomware Ryuk, que inutilizó su página web durante varios días y dificultó el servicio en las más de 700 oficinas presenciales del SEPE y en 52 telemáticas. Para conseguir mantener el funcionamiento de este servicio, los trabajadores del SEPE tuvieron que realizar alrededor de 19.000 horas extras.
Los ataques de ransomware están a la orden del día y cualquier tipo de organización debe tomar medidas de ciberseguridad para evitarlos.
Consulta la guía sobre ransomware de Incibe para estar informado sobre este ciberdelito:
https://www.incibe.es/protege-tu-empresa/guias/ransomware-guia-aproximacion-el-empresario
2. Compras en Internet
Durante la pandemia el incremento de las compras online ha convertido a los servicios postales en el objetivo perfecto para ejecutar el robo de datos a través del phishing.
A comienzos de 2021 centenares de terminales móviles recibieron un SMS con el siguiente contenido:
“CORREOS: Tu envío está en camino: correos-track.top/XXXXXXX/”
El link llevaba a los usuarios a una página que descargaba una aplicación que permitía a los ciberdelincuentes acceder a los datos personales y bancarios de la víctima.
A lo largo del año, se siguieron utilizando como cebo el nombre de otras compañías como MRW, DHL o FedEx.
Para que estés alerta y sepas identificar el phishing, te recomendamos leer esta guía que hemos elaborado en CSIRT-CV:
concienciat.gva.es/tutoriales/guia-para-identificar-phishing/
3. Robo de credenciales en plataformas de streaming
¿Usas la misma contraseña para acceder a múltiples plataformas de streaming? Si es así, formas parte del 59% de la población española que emplea un solo password para el registro de sus cuentas en diferentes sitios de Internet. ¿Y qué implica esto? Ponérselo fácil a los ciberdelincuentes: si consiguen obtener tus claves de acceso, podrán acceder a tus cuentas en otros sitios web.
A finales de 2021, Twitch, el gigante del streaming propiedad de Amazon, sufrió un hackeo que expuso hasta 125 GB de datos sensibles, entre ellos, las contraseñas de su comunidad de usuarios.
Para comprobar si tu cuenta de correo se ha visto alguna vez comprometida, puedes utilizar haveibeenpwned.com.
Desde CSIRT-CV te recomendamos contar siempre con un gestor de contraseñas para llevar un control eficaz de todos tus passwords.
Para saber más, consulta esta guía que hemos elaborado para que tus datos más sensibles estén siempre a salvo:
concienciat.gva.es/sabias_que/estan-mis-datos-a-salvo/
4. Suplantación de identidad
Cada vez más personas sufren el robo de su identidad digital. La Suplantación de identidad es hacerse pasar por otra persona con el objetivo de acometer un hecho ilícito.
La persona que suplanta la identidad de otra podría obtener una hipoteca o crédito en nombre de la persona que suplanta, hacerse pasar por ella en redes sociales, e incluso, hacer compras en Internet.
Es importante que te conectes solo a sitios seguros y revises la información que proporcionas en Internet y en las redes sociales. Debes leer la política de privacidad para saber si estás dando permiso para compartir tus datos. Un antivirus siempre actualizado también te puede ayudar a frenar cualquier intento de suplantación de identidad.
Consulta este artículo de CSIRT-CV para saber qué otras medidas puedes tomar para evitar ser víctima de este ciberdelito:
concienciat.gva.es/sabias_que/suplantacion-de-identidad/
5. El fraude del CEO
¿Gestionas las cuentas o realizas transferencias bancarias en tu empresa? Si es así, debes prestar atención si recibes un correo de un “presunto superior” que te presiona para realizar alguna operación financiera y te indica que se trata de un asunto confidencial y urgente. Podrías estar sufriendo el fraude del CEO.
Los ciberdelincuentes suelen recopilar mucha información de la compañía a la que quieren estafar, y atacan por la vía más verosímil. En ocasiones, llegan a suplantar dominios, lo que se conoce como “email spoofing”.
Hay una regla de oro que se debe respetar para luchar contra esta ciberamenaza: cerciórate de que la orden de pago proviene realmente de tu superior.
Para saber más sobre este ciberdelito, consulta estos consejos de CSIRT-CV:
concienciat.gva.es/tips_de_seguridad/10-consejos-para-no-ser-victima-del-fraude-del-ceo
6. Ataques de fuerza bruta
Según Kaspersky, los ataques de fuerza bruta han aumentado un 31,6% en 2021. La mejor forma de evitarlos es reforzar las contraseñas.
Estos ataques buscan obtener claves mediante ensayo y error o el uso de herramientas informáticas muy sofisticadas. La toma de conciencia es tu mejor aliada.
Utiliza siempre contraseñas largas, como mínimo de 12 caracteres, combina mayúsculas y minúsculas, utiliza también números y caracteres especiales.
Además, recuerda que siempre es preferible utilizar una frase encriptada antes que una palabra que te resulte familiar. Desactiva la opción de “recordar contraseñas” y no uses la misma para distintos sitios web.
Para tenerlas siempre a mano de forma segura, usa siempre un gestor de contraseñas. Consulta nuestra guía sobre su uso:
concienciat.gva.es/tutoriales/guia-de-uso-de-gestores-de-contrasenas/
7. Estafas en el uso de criptomonedas
El año 2021 ha sido testigo de estafas sonadas en el terreno de las criptomonedas. Uno de los casos más mediáticos fue el de Poly Network, una plataforma de financiación descentralizada, que sufrió un robo de 600 millones de dólares.
Aquí tienes tres consejos clave para evitar ser víctima de los ciberdelincuentes e invertir de forma segura en criptomonedas:
● Asegura su almacenamiento: en una casa de cambio o en un monedero digital.
● Diversifica, como en cualquier otro tipo de inversión.
● Huye de falsas promesas que prometen lucrarse en poco tiempo o de asesores sin ningún tipo de credencial.
Y recuerda, como en el mundo real, en el mundo digital también hay que estar informado y alerta a la hora de realizar una inversión.
8. Ciberespionaje
El software Pegasus ha supuesto un quebradero de cabeza para países y empresas de todo el mundo en 2021. Este software fue utilizado por los servicios secretos de más de una docena de países para espiar, grabar y robar datos sensibles de miles de periodistas, políticos, disidentes y activistas.
Como siempre, la mejor forma de hacer frente a estas ciberamenazas es tener toda la información. Si quieres profundizar más sobre el ciberespionaje y otros muchos ciberdelitos, haz este microcurso gratuito de una hora de duración de CSIRT-CV:
concienciat.gva.es/cursos/delitos-tecnologicos/
9. Fake News
El coronavirus ha sido una fuente continua de Fake News. Desde las teorías conspirativas más alocadas a bulos que decían que las vacunas podían generar problemas de salud o que modificaban nuestro ADN.
Es esencial que no te dejes engañar. Para ello siempre debes analizar la fuente de la que proviene la noticia, ponte en alerta ante un titular amarillista y desconfía cuando encuentres faltas de ortografía o el formato te resulte extraño.
Te recomendamos seguir los consejos de nuestra campaña «Stop Fake News!» para aprender a identificar noticias falsas:
10. Ataques coordinados “a lo grande”
En 2021 se continuó con la investigación del ataque que se produjo a finales del año anterior contra la compañía de software estadounidense SolarWinds. El presidente de Microsoft lo calificó como “el mayor y más sofisticado ciberataque de la historia”.
El ciberataque escondía código malicioso en actualizaciones y afectó a 18.000 clientes de SolarWinds. Entre ellos, las principales instituciones de seguridad de Estados Unidos, su Departamento de Estado e incluso a las diez mayores empresas de telecomunicaciones del país.
Los ciberataques coordinados y de dimensiones espectaculares, como el de SolarWinds, han despertado la alerta de las agencias de ciberseguridad internacionales, y demandan mantener un control mucho más riguroso.
Hay que ser conscientes de que nos enfrentamos a unos enemigos que trabajan perfectamente coordinados y que, si no se actúa con diligencia y atención constante, pueden poner en riesgo el funcionamiento de los Estados afectados.
Aquí termina la campaña “10 ciberamenazas que han marcado 2021”. Hemos querido que conozcáis los ciberataques más frecuentes sufridos el pasado año. Esperamos que os haya sido de utilidad para estar alerta durante este 2022.
La información y los recursos que os hemos ofrecido os ayudarán a reconocer posibles ciberataques y a saber cómo actuar si los identificáis o sois víctimas de ellos.
Hay que tener en cuenta que la transformación digital mejora las sociedades, pero también tenemos que conocer los riesgos a los que estamos expuestos cada día en la Red.
El factor humano siempre es fundamental y decisivo para impedir que los ciberdelincuentes consigan su propósito. Existen multitud de medidas a tomar para no ser víctima de alguno de los ciberdelitos expuestos en la presente campaña.
Entre todos, podemos hacer que este año sea más ciberseguro. ¡Convirtámonos en auténticos Human Firewalls!
Puedes encontrar los consejos de esta campaña en nuestras redes sociales Facebook y Twitter buscando el hashtag #2022Ciberseguro.