Las estrategias delictivas en el ciberespacio se perfeccionan

VALÈNCIA. Los ciberataques siguen aumentando en número y perfección. Sus métodos, estrategias y herramientas son cada vez más elaborados y eficaces, mientras los impactos son cada vez más relevantes. Los últimos meses han sido especialmente convulsos ante el incesante aumento del phishing, especialmente el denominado 'spear phishing' o selectivo, orientado a destinatarios específicos.

Algunas de las modalidades que mayor impacto están teniendo en nuestras organizaciones y que seguirán creciendo en lo sucesivo son el denominado 'whaling o fraude del CEO', orientado a altos cargos y dirigido a obtener información confidencial de una organización o dinero; así como el 'spear phishing basado inteligencia artificial', en la que los delincuentes se benefician de estos sistemas para rastrear las redes y para encontrar información útil sobre la persona a suplantar, analizarla e imitar su lenguaje, estilo de comunicación o el tono de voz.

Para estas modalidades, los ciberdelincuentes realizan una labor previa de recopilación de toda aquella información que pueda ser relevante para los mismos, como dirección de correo electrónico en directorios corporativos, redes sociales, antivirus de la empresa, estilos, perfiles de escritura...

Respecto al phising, mediante el engaño, los ciberdelincuentes buscan hacerse con las claves de los usuarios, datos de su tarjeta de crédito o bancarios. Los artificios son cada vez más sofisticados y perfeccionados: Desde correos electrónicos haciéndose pasar por nuestro proveedor de telefonía móvil en el que nos indican que debemos actualizar los datos de nuestra cuenta, por nuestra  plataforma de video en streaming donde nos piden que accedamos a nuestro perfil y confirmemos nuestros datos de pago, por nuestro banco que nos solicita que accedamos a nuestra área de cliente para realizar una verificación de seguridad, por un cliente donde nos indica confirmar datos de pago o por una empresa de mensajería que nos solicita confirmación de datos para la entrega de un pedido.

Respecto al comentado 'spear phishing' y otras técnicas de engaño defraudatorio, las conductas van desde el envío de un correo electrónico a un subordinado con supuesto origen en la dirección de la organización ordenando una transferencia urgente e inmediata a la cuenta de un proveedor real de la misma (cuando la cuenta no pertenece al mismo), hasta el envío de un correo electrónico de un supuesto proveedor real de la organización ordenando que los pagos pendientes o sucesivos o se hagan en la cuenta bancaria que adjuntan, que obviamente no pertenece a dicho proveedor.

Suplantación y fraude

Procedimientos no excesivamente complejos, pero tremendamente efectivos en la práctica, como lo demuestran algunos de los casos de los que se ha hecho eco la prensa en los últimos meses. La principal defensa frente a estos delitos de suplantación y fraude, que ocurren tanto en el mundo físico como virtual, sigue siendo la información, la concienciación y la formación.

De hecho, esta información, concienciación y formación no debería exclusivamente recaer en las propias organizaciones sino ser en mayor medida promovida por las autoridades públicas e incorporarse en el sistema educativo en las edades más tempranas. Sin perjuicio de ello, y como destacaba en el artículo publicado en este mismo medio el pasado mes de diciembre, las empresas y las Administraciones Públicas deben estar muy alerta, llevar la iniciativa e incrementar sus esfuerzos por concienciar y formar de manera continua a sus empleados. Además de impartir instrucciones, directrices, normas y buenas prácticas, especialmente en entornos virtualizados y de teletrabajo y, en particular, los que supongan el acceso online a sistemas e información corporativa, incluyendo equipos y dispositivos, aplicaciones, información, redes o correo electrónico.


Algunas recomendaciones esenciales serían las siguientes:

• Compartir la mínima información personal posible en redes sociales.
• Evitar la publicación de direcciones de correo electrónico corporativas en sitios públicos (cuando sea posible)
• Revisar cuidadosamente cualquier correo electrónico recibido antes de responder (Comprobar corrección de la dirección electrónica del remitente -no sólo el nombre y comprobar que el dominio corresponde al de la entidad de la que supuestamente proviene-, errores ortográficos en la comunicación y su contenido).
• No abrir correos de usuarios desconocidos.
• Prestar atención a los consejos del proveedor de correo o del sistema corporativo en relación con el carácter sospechoso de cualquier archivo adjunto.
• No pinchar en enlaces ni abrir ficheros adjuntos a mensajes de correo que puedan resultar sospechosos (aunque parezcan provenir aparentemente de usuarios conocidos).
• Desconfiar si se solicita información sensible.
• Comprobar especialmente los correos provenientes de supuestas personas o entidades con las que se pueda tener alguna relación actual o potencial, en los que se solicite la verificación de datos identificativos, cuentas o claves, datos de pago o bancarios o cualquier otra información económica o contable, o cambios en los mismos.
• En caso de duda o sospecha, no proporcionar datos ni contestar correo y ponerlo inmediatamente en conocimiento del responsable de seguridad de la organización o su dirección y validar autenticidad de la comunicación por otros canales.    
• Antivirus y firewall activos.
• Sistema operativo actualizado.
• Definir protocolos de actuación en caso de sufrir un fraude de estas características que prevea distintos escenarios y accesiones, para actuar con la celeridad que la situación requiera.

Durante los últimos meses, los intentos de fraude a empresas y Administraciones Públicas valencianas han sido incesantes, algunos con éxito al suplantar a proveedores modificando la cuenta bancaria de destino de cualquier pago a partir de la fecha de su notificación.

Sin duda, el responsable de estas acciones es la organización criminal, si bien las organizaciones deben articular o reforzar todos los mecanismos a su alcance para prevenir, detectar y evitar es tipo de engaños y fraudes; especialmente mediante la revisión de los procedimientos internos de alta de terceros, solicitud de certificados de titularidad de cuentas, integración de mecanismos de doble verificación de identidad (por distintas vías, por ejemplo electrónica, telefónica o postal) y de titularidad, así como de conciliación contable y bancaria, entre otros.

José Manuel Muñoz Vela es abogado especialista en Derecho Tecnológico y Digital y director jurídico de Adequa Corporación