Consejos para prevenir el robo de credenciales en tus cuentas personales: los ciberdelincuentes tienen pocos escrúpulos

NURIA ANDRÉSNOTICIA07.10.2022 - 07:25h
Se recomienda tener los perfiles privados en las redes sociales.
Se recomienda tener los perfiles privados en las redes sociales.
©[TheDigitalArtist] via Pixabay.com.
Se recomienda tener los perfiles privados en las redes sociales.
Nuria Andrés, experta en ciberseguridad de Proofpoint

NURIA ANDRÉS

  • Estratega de ciberseguridad de Proofpoint para España

El ciberdelincuente persigue robar claves de usuarios para poder obtener datos e información críticos. Con solo usuario y contraseña de servicios como Microsoft 365 o Google Workspace acceden a todo nuestro universo: pueden enviar un correo suplantando nuestra identidad; ver agenda, contactos, chats y archivos; conseguir credenciales bancarias, de redes sociales o herramientas de colaboración… Esa contraseña es, en definitiva, una primera barrera crítica entre el usuario, el ciberdelincuente y un ataque exitoso.

En la mayoría de los casos, la exposición de estos datos es involuntaria por parte de los usuarios y, de hecho, el 95% de incidentes de seguridad se debe a un error humano, de ahí que los ciberdelincuentes demuestren tener muy pocos escrúpulos para “hackear” la vulnerabilidad humana. Están al tanto de lo último en actualidad informativa y tendencias para incluirlas como reclamo de sus mensajes, y juegan además con las emociones de los usuarios para transmitirles cierta necesidad, o urgencia, que los lleve a hacer finalmente lo que se les pide, sin verificar previamente la información ni tener el mínimo atisbo de duda.

Un negocio muy fácil y lucrativo

El correo electrónico sigue siendo el canal número uno por el que los ciberdelincuentes roban datos y desvían miles de millones cada año. El negocio de los ciberdelincuentes es hoy en día sinónimo de negocio económico. 

Quienes se dedican a esta actividad consiguen adentrarse allá donde quieran estar para hacerse con información que luego se traduce en dinero, vendiendo por ejemplo credenciales de usuarios en la dark web. De media, cada incidente de robo de credenciales cuesta más de 800.000 dólares a las organizaciones, convirtiéndose así en la ciberamenaza más cara de solucionar. Pero no es el único dato alarmante: el robo de credenciales casi se ha duplicado en 2021, acaparando un 18% de los incidentes de seguridad.

Muchas empresas siguen centrándose en la defensa frente a factores externos.
Muchas empresas siguen centrándose en la defensa frente a factores externos.
©[xresch] via Pixabay.com. / Montaje: 20Bits.

La protección frente a ciberamenazas es un reto continuo. Desafortunadamente, el fraude por email supone una barrera de entrada baja para los atacantes, puesto que son mensajes muy fáciles de crear y que no requieren demasiados conocimientos técnicos. Solo dependen de que una persona haga clic. Aunque no queda ahí todo, porque a través del compromiso de una sola cuenta, los atacantes pueden vulnerar la seguridad de una organización y de más personas.

Se hacen pasar por marcas conocidas para engañar

Siempre hay que estar en alerta. Los ciberdelincuentes suelen hacerse pasar también por marcas conocidas, proveedores de seguridad y otros remitentes de confianza para el usuario con el objetivo de dar legitimidad a sus correos electrónicos de phishing. En esas comunicaciones no solicitadas, el destinario tiene que fijarse, sobre todo, en el dominio desde el que está recibiendo ese correo, porque los atacantes utilizan dominios parecidos a los legítimos, cambiando una letra, para hacerles creer que están recibiendo un email desde un dominio cuando realmente es de otro totalmente diferente. 

Hay que evitar hacer clic en enlaces o adjuntos que vengan en esos correos, así como revelar credenciales con información personal o financiera. Si el mensaje hace referencia a una institución o compañía, es mejor acudir directamente a sus páginas web y acceder ahí a la información o realizar cualquier trámite.

La estafa consiste en hacerse pasar por Decathlon para que el supuesto regalo de una bicicleta sea creíble.
La estafa consiste en hacerse pasar por Decathlon para que el supuesto regalo de una bicicleta sea creíble.
Captura de pantalla del sitio web fraudulento

Cuando el usuario crea que ha podido caer en un ataque de phishing, debe comunicarlo al administrador de sistemas de su compañía o al soporte técnico del servicio que está usando con su cuenta personal, para que resetee su contraseña y le indique más pasos a seguir.

Controles más allá de usuario y contraseña

La tecnología debe proporcionar necesariamente las primeras líneas de defensa. La autenticación multifactor (MFA, por sus siglas en inglés) es un importante control preventivo que complementa el modelo de usuario y contraseña con otro factor que el usuario en cuestión posee únicamente, como un token virtual en su teléfono móvil con una validez de segundos que le permite acceder con seguridad a sus cuentas.

Si bien la MFA ha ayudado a muchas organizaciones descartar el phishing de credenciales durante años, por último, estamos viendo que es una medida posible de evadir en entornos basados en la nube, por lo que se necesita agregar capas adicionales de seguridad, centrándose en la detección y corrección de compromisos de cuenta.

En este sentido, las soluciones CASB incrementan la protección ofreciendo visibilidad de ataques dirigidos a personas. Combinan inteligencia sobre amenazas en la nube, el correo electrónico y otros canales con datos contextuales acerca de los usuarios para analizar su comportamiento y detectar anomalías en aplicaciones basadas en la nube.

Los usuarios pueden hacer fracasar las ciberamenazas

Francisco Valencia, de Secure&IT, señala que faltan puestos de ciberseguridad en España,
Francisco Valencia, de Secure&IT, señala que faltan puestos de ciberseguridad en España,
Kevin Kuvía Unsplash

Pese a que no existe una fórmula mágica para ser 100% efectivo en la detención de amenazas, un paso verdaderamente importante es colocar a las personas en el centro de cualquier estrategia de ciberseguridad.

Concienciar a los usuarios se ha convertido en la mejor defensa contra la mayoría de las amenazas. Si hay algo de lo que estamos seguros es de que los ciberdelincuentes no van a desistir en su empeño de aprovecharse de la vulnerabilidad de las personas, lanzando ataques muy selectivos y perfeccionados para hacerse con sus objetivos.

Cuando se entiendan los métodos y los motivos que hay detrás del cibercrimen, se podrá trabajar para cambiar los comportamientos de los usuarios e implementar medidas de protección con las que limitar las probabilidades de éxito de los atacantes.

Aun así, nunca está de más ni es mal momento para advertir de los peligros siempre presentes de la suplantación de identidad y el robo de credenciales entre los usuarios. 

Consejos básicos

Como consejos básicos, nunca se tiene que poner fechas personales, nombres de familiares, palabras comunes o recurrentes en las contraseñas; utilizar una distinta para cada plataforma que utilice el usuario; y renovarlas periódicamente, por ejemplo, dos veces al año en cuentas personales. Cuanto más conscientes sean las personas de estas amenazas, podrán contribuir mejor a que finalmente fracasen.

Apúntate a nuestra newsletter y recibe en tu correo las últimas noticias sobre tecnología.

Mostrar comentarios

Códigos Descuento

© 20 Minutos Editora, S.L.

Queda prohibida toda reproducción sin permiso escrito de la empresa a los efectos del artículo 32.1, párrafo segundo, de la Ley de Propiedad Intelectual. Asimismo, a los efectos establecidos en el artículo 33.1 de Ley de Propiedad Intelectual, la empresa hace constar la correspondiente reserva de derechos, por sí y por medio de sus redactores o autores.