La especialista en identidad digital Selva Orejón comparte en este blog todo lo que debemos saber para gestionar y tomar el control sobre nuestra identidad digital, decidir quiénes acceden a nuestros datos, e incluso cuándo y cómo.
La exposición de los usuarios en la red, tanto en el ámbito corporativo como personal, es cada vez mayor.
Con la pandemia nos hemos volcado en la red de tal forma, que nuestra huella digital es cada vez mayor, es tanta la información que dejamos, que se hace casi imposible plantearnos borrar nuestro rastro en Internet.
Los delincuentes lo saben y, por ello, la criminalidad en la red está creciendo de manera exponencial, algunas cifras así lo indican:
- España es el país de la Unión Europea que más víctimas de robo de identidad ha registrado, según cifras de la oficina Europea de Estadística (Eurostat).
- Las empresas españolas sufren alrededor de 40.000 ciberataques diarios. El 90% de las compañías asegura estar muy preocupado por la protección digital de sus proveedores y de la cadena de suministro.
- En los últimos 10 años los ciberdelitos (conocidos) aumentaron un 613,5% y ya representan el 15,6% de todos los delitos cometidos en España.
- Es imprescindible, por tanto, ser consciente de la gran importancia que supone contar con recursos que garanticen una experiencia digital más segura, tanto para empresas como para usuarios.
Debemos tomar el control sobre nuestra identidad digital, decidir quiénes acceden a nuestros datos, e incluso cuándo y cómo. Y para ello hay que gestionarlos.
Cuidar la IDENTIDAD DIGITAL minimiza los riesgos de sufrir un CIBERATAQUE y una crisis de PRIVACIDAD, SEGURIDAD y su consecuencia en REPUTACIÓN.
Muy al contrario de lo que se suele pensar, los delincuentes no requieren de un gran conocimiento técnico, solamente requieren poseer un gran poder de persuasión, ser creíbles para lograr la confianza de su víctima y que esta no sea capaz de detectar la amenaza.
¿Cuáles son los delitos más comunes y cómo proteger nuestra identidad digital?
Distinguimos dos tipos delitos: los ataques de baja capacidad técnica, donde nos encontramos delitos como casos de sextorsión, phishing o la estafa del CEO. Y delitos de alta capacidad técnica donde englobamos delitos como ataques ransomware, intrusiones / exfiltraciones de información y ataques de denegación de servicio (DoS).
Delitos de Sextorsión
Suelen derivarse de prácticas de sexting, pero a veces estas estafas pueden ser falsas.
Consejos para evitar ser víctima de sextorsión:
- No proporcionar, información personal (íntima, profesional…) a desconocidos en Redes Sociales.
- Privatiza correctamente tus perfiles en redes sociales y WhatsApp.
- Utiliza números de teléfono y correos electrónicos diferentes a los personales / profesionales para contactar con desconocidos.
- Por regla general, desconfía y no envíes fotografías en las que seas identificable.
Phishing
Engañan a la víctima para que comparta información confidencial como contraseñas o números de tarjetas de crédito. La más usual es mediante correo electrónico o mensaje de texto. Se suplanta la identidad de una persona u organización de confianza. En este tipo de estafas se suele exigir a la víctima que actúe de inmediato.
Consejos para evitar ser víctima de una campaña de phishing:
- No proporcionar información bancaria en páginas web a las cuales se haya accedido desde un enlace incluido en un SMS o un email.
- Los códigos desechables que envían por SMS son secretos y, por ejemplo, los bancos o empresas nunca los pedirán por correo o llamada.
- Por regla general, hay que desconfíar de todos aquellos mensajes alarmantes o que tengan tono de urgencia (“Cuanto antes mejor”).
- Nunca responder a este tipo de comunicaciones sospechosas.
- Recordar que las páginas web seguras empiezan siempre por https y contienen un candado cerrado en la barra de navegación.
- Pulsa sobre el candado para comprobar que el certificado es válido.
La estafa del CEO
El estafador llama o envía correos electrónicos haciéndose pasar por un alto cargo de la compañía. Su objetivo es, claro, engañar a los empleados que tienen acceso a los recursos económicos para que paguen una factura falsa o hagan una transferencia desde la cuenta de la compañía.
Consejos para evitar ser víctima de este tipo de estafa:
- Respetar estrictamente los procedimientos de seguridad vigentes para los pagos y las compras.
- No saltarse ningún paso y no ceder a la presión.
- Revisar siempre con cuidado las direcciones de correo cuando se trate con información delicada o se haga transferencias. En caso de duda sobre una orden de transferencia, consultar a un compañero experto.
- No abrir nunca enlaces o adjuntos sospechosos recibidos por correo. Tener especial cuidado al consultar el correo personal en los ordenadores de la empresa.
- No compartir información sobre el organigrama, la seguridad y los procedimientos de tu compañía.
- Si se recibe un correo sospechoso, informar siempre al departamento de informática.
Ataques ransomware
Es un tipo de malware que impide a los usuarios acceder a su sistema o a sus archivos personales y que exige el pago de un rescate para poder acceder.
Consejos:
- No hacer clic en enlaces peligrosos.
- Evitar revelar información personal.
- No abrir archivos adjuntos de correos electrónicos sospechosos.
- No utilizar memorias USB desconocidas.
- Mantener programas y sistema operativo actualizado.
Intrusiones / exfiltraciones de información
Exposición de información a un entorno no confiable. Las filtraciones de datos a menudo son resultado de ataques maliciosos.
Denegación de servicio (DoS)
El delincuente deja inoperativos los servicios que tenga una empresa en internet.
Posibles consecuencias: dejar sin servicio el servidor de correo electrónico, la página web, etc.
Recomendaciones básicas para tener una identidad digital protegida
- Configurar la privacidad y la seguridad en las redes sociales.
- Tener cuidado con compartir la geolocalización mientras se está en un lugar.
- Valorar la privacidad de la información e imágenes que se publican, tanto propia como de terceros.
- Hacer un seguimiento periódico de la información que hay sobre uno mismo en la Red.
- No instalar programas informáticos ajenos en proveedores oficiales o que no sean estrictamente necesarios para el desempeño del trabajo.
- Evitar acceder a redes sociales o cuentas personales en dispositivos ajenos. Si se hace, cerrar la sesión en los dispositivos al acabar.
- No navegar con Wifi Públicas (ciudades, hoteles, restaurantes, cafeterías, aeropuertos, estaciones, tiendas... por más que no haya cobertura). Se generan redes Wifi falsas con nombres como Wifi Gratis, Wifi Aeropuerto para esnifar datos.
- Utilizar una VPN para enmascarar nuestra navegación. Imprescindible si se navega por Wifis desconocidas o públicas.
- Activar el Doble Factor de Verificación en nuestras cuentas.
- Emplear contraseñas diferentes para cada servicio.
*Esta entrada al blog es una aportación de Selva Orejón (@selvaorejon), ponente del Webinar-Taller “Protección de la Identidad Digital, Reputación Online y Ciberseguridad en el día a día”, organizada por el centro de la Red CIDE de la FULP.
Selva Orejón es perito judicial especializado en Identidad digital y reputación y directora ejecutiva de onBRANDING, primera firma española de analistas de la identidad digital y protección de la reputación online.
Más sobre onBRANDING: https://onbranding.es/