Tanto organismos públicos como empresas privadas están en el punto de mira de los ciberdelincuentes o ‘hackers’ que buscan hacerse con los datos personales y bancarios de la ciudadanía.
Para ello, recurren al envío de correos electrónicos fraudulentos (phishing), como alerta la Oficina de Seguridad del Internauta (OSI) mediante sus avisos de seguridad. Pero la suplantación de identidad no es la única forma que tienen los cibercriminales de hacerse con un bien tan preciado como nuestra información.
En los últimos años los expertos en seguridad han detectado ataques masivos en forma de phishing, con los que los ciberdelincuentes suplantan la identidad de la popular plataforma de contenidos en streaming Netflix para robar datos de sus clientes. A principios de 2018, los hackers se hicieron pasar por este servicio de entretenimiento y así dar con las claves de las cuentas de sus usuarios. La manera de conseguirlos era enviar un correo electrónico falso que imitaba la identidad corporativa de la plataforma y en el que pedían a sus víctimas en España y EE.UU. que verificaran sus datos de acceso a la plataforma clicando en un enlace que, en realidad, dirigía a una página falsa.
Compra y venta de datos en el mercado negro
El verdadero peligro de este ciberataque, phishing, no era conseguir las contraseñas para ver películas y series gratis, sino su reventa en el mercado negro y facilitar así ataques a mayor escala. Y el mal uso que hacemos con las contraseñas, como reutilizarlas en cuentas de correo y redes sociales, podría ponérselo más fácil a estos cibercriminales.
Hace apenas un mes, de nuevo la plataforma era objeto de otro ciberataque parecido, esta vez, para robar datos personales y bancarios (número de tarjeta, fecha de caducidad y código de seguridad). “Se trata de un timo muy bien orquestado, ya que los ciberdelincuentes incluso emulan usar una autenticación de doble factor”, advertía Hervé Lambert, Global Consumer Operations Manager de Panda Security.
Y nada más comenzar noviembre, como alertaban desde la OSI, le tocaba a otro servicio muy popular entre la ciudadanía: la famosa aplicación de compraventa de segunda mano, Wallapop. En este caso, el problema ha sido una filtración de datos. A través de un correo electrónico, la app informaba a sus usuarios de que se había producido un “acceso indebido” a su plataforma y que, entre las medidas de seguridad implementadas, debía cerrar la sesión de las cuentas e inhabilitar las contraseñas afectadas, por lo que se recomendaba cambiar lo antes posible las claves de acceso al servicio o acceder desde Facebook o Google.
¿Qué está pasando? “En el ámbito de Internet, a día de hoy, uno de los activos más importantes, lo que más se valora, independientemente de las transacciones económicas y las autorizaciones de ellas, son los datos personales”, reconoce Alberto Redondo, el comandante de la Unidad Técnica de la Policía Judicial de la Guardia Civil. Y nuestras contraseñas para entrar a nuestro correo electrónico o a nuestras cuentas en servicios como los comentados, bancos o tiendas, son una puerta, muchas veces, sencilla de pasar. Y más, si usamos una misma clave para todo.
“Esto es una cadena. Si usas la misma contraseña para el banco que para gestionar la tarjeta de puntos de viaje, en el momento que te revientan una —que si no es muy complicada no es demasiado complejo— pueden acceder a todos los sistemas. Y si se hacen con la clave del correo electrónico, pueden tener el control de la mayoría de los servicios online, pues en la mayoría de los servicios que tenemos con password y usuario en Internet te dan la posibilidad de recuperar la clave y te la mandan a tu correo electrónico. Es la pescadilla que se muerde la cola”, resume el experto en delitos tecnológicos.
