La explosión de dispositivos digitales con una conexión a Internet ha facilitado que la información que se maneja hoy en día esté principalmente en formato digital. Esto se refiere tanto a los datos que manejan grandes compañías como a la información que un “usuario regular” almacena (conversaciones, correos electrónicos, agendas, datos bancarios, multimedia, etcétera). El riesgo de que una entidad maliciosa pueda tener acceso no autorizado a la información transmitida y procesada es algo que atañe a usuarios de todos los niveles. Pero ¿qué información relevante pueden robarme a mí como usuario regular? Pensemos en el caso hipotético en el que una entidad maliciosa lograra obtener el usuario y la contraseña de tu correo electrónico ¿qué podría pasar?, hay dos consecuencias inmediatas: a) violación a la confidencialidad y b) usurpación de la identidad. Violación a la confidencialidad: la entidad maliciosa puede leer todos los correos que se han enviado y que se han recibido (posiblemente información de tu trabajo, de tu vida personal, de tus finanzas). Usurpación de la identidad: ahora esta entidad puede generar correos en tu nombre, haciéndole creer a tus contactos que eres tú el que está escribiendo. Además, hay otros posibles daños: cambiar tu contraseña apropiándose de la cuenta definitivamente y extender el ataque, ya que hay usuarios que reutilizan la contraseña en varias aplicaciones. Por lo que el siguiente paso para la entidad maliciosa es tratar de comprometer otra cuenta de tus cuentas, e.g. facebook, twitter.
Sin embargo, existe una idea generalizada de que los ciberataques solo están enfocados a información de alto nivel (industria, bancos, gobierno). Por ello, a menudo no se toman las precauciones necesarias para evitarlos. Según el Internet Crime Report 2017, basado en las estadísticas obtenidas por el FBI´s Internet Crime Complaint Center, en 2017 se recibieron alrededor de 300 mil quejas de delitos cibernéticos asociadas a una pérdida económica de 1.4 millones de dólares para las víctimas siendo las personas de 40 años en adelante las más perjudicadas. Pero esto no solo ocurre en EU, según este reporte, México ocupa el quinto lugar dentro de los 20 países más afectados por crímenes cibernéticos.
Lo anterior nos hace cuestionarnos: ¿cuándo estoy en riesgo de ser víctima de un delito cibernético? Existe una serie de eventos que pueden ser tipificados como crímenes cibernéticos a los cuales, como usuarios estamos expuestos, por ejemplo, a los correos electrónicos donde nos piden ayuda desde un país extranjero para realizar una transferencia bancaria o revelar datos personales (números de cuenta, contraseñas, etcétera). En ocasiones los usuarios son contactados para ofrecerles un premio económico (bancario, lotería, etcétera) o bien dando seguimiento a una queja cuando el usuario no participó ni solicitó el servicio. De manera que, el medio para detonar un crimen cibernético varía para evitar que el usuario sospeche del riesgo inminente. Por ejemplo, The New York Times [1] reportó en 2017 que una nueva modalidad para esparcir ciberataques es mediante links compartidos en las redes sociales. De acuerdo al artículo el potencial de esta modalidad radica en que el usuario comparte el link con su red de contactos, los cuales confían en lo que se les está compartiendo pues proviene de una fuente conocida.
Ciberseguridad
Dados los riesgos del mundo digital, existe la necesidad de proteger información. Sin embargo, las medidas que mitigan estos riesgos deben enfocarse no sólo a los datos, sino también involucrar al software y las redes que los manejan y transmiten; a esto se le conoce como ciberseguridad. Debido a que la vida cotidiana involucra aplicaciones digitales como correo electrónico, banca en línea, compras, trámites, etcétera, es necesario que los usuarios estén informados y sepan cuáles son los medios más usados para detonar los ataques cibernéticos. Si se tiene conocimiento de ello, los usuarios serán más cautelosos al momento de tomar sus decisiones y se reducirá significativamente la posibilidad de ser víctima de un ciberataque. La ciberseguridad es un área con la que los usuarios deben familiarizarse pues si bien las compañías pueden hacer más seguras sus transacciones, software y redes; el usuario también debe estar consciente de las consecuencias de sus acciones, es decir, la ciberseguridad no es una responsabilidad asignada al proveedor de servicios sino compartida con el usuario. El impacto y la importancia de este tema es tal que el Departamento de Seguridad de EU celebra cada octubre, desde hace 15 años, el mes nacional de concientización sobre Seguridad Cibernética. En este evento se hace énfasis sobre la importancia de que los usuarios tengan la información y herramientas necesarias para garantizar su seguridad on line. Ya que el desconocimiento de un usuario es una puerta de entrada a la explotación de amenazas. Al considerar que además este usuario tiene una red de contactos, es posible visualizar la magnitud del riesgo potencial. En México, también la Comisión Nacional de Seguridad (CNS) de la Policía Federal organiza cada año la Semana Nacional de la Ciberseguridad con el fin de hacer una concientización social sobre el uso responsable de la información y comunicación a través de Internet.
Retomando nuestro caso hipotético, algunas de las medidas de seguridad que debe considerar el usuario son: a) establecer una contraseña segura, que incluya números y caracteres especiales (distribuidos a lo largo de la misma), y que tenga una longitud mayor a ocho caracteres, b) no utilizar la misma contraseña para más de una cuenta y c) cambiarla periódicamente.
Además es importante considerar que hay documentos oficiales publicados por el National Institute of Standards and Technology (NIST) donde se describen las mejores prácticas para la generación y administración de contraseñas: Guide to Enterprise Password Management y Electronic Authentication Guideline.
Información y educación para el usuario
Actualmente existen diversas asociaciones sin fines de lucro que ayudan a usuarios domésticos, empresas y escuelas. Dichas asociaciones difunden el mensaje Stop. Think. Connect (Detente. Piensa. Conecta) que invita a que los usuarios sean conscientes de las acciones y decisiones que toman en línea para mejorar la seguridad. La National Cyber Security Alliance es otra organización dedicada a informar y educar sobre ciberseguridad tanto a usuarios como a empresas. De esta forma se invita al usuario a tomar el control y reducir el riesgo de ser víctima de algún ataque cibernético, consultando los enlaces de interés mostrados en [2,3].
Además, la Comisión Nacional de Seguridad proporciona ayuda en caso de ser víctima de algún delito cibernético a través del servicio telefónico 088, Twitter @PoliciaFedMx y con la aplicación PF Móvil.
Conclusiones
Los ataques cibernéticos están presentes en casi cualquier dispositivo y recurso digital. El incremento de crímenes cibernéticos hoy en día requiere que las acciones de seguridad no sean responsabilidad solo de las empresas que manejan los servicios y comunicaciones sino también de quienes hacen uso de ellas. Por tanto, esto obliga al usuario a educarse sobre los posibles riesgos de los sitios que visita y a tomar conciencia de la responsabilidad que asume al navegar en Internet. Si bien dicha educación puede resultar algo nuevo para muchos, actualmente se han puesto en marcha acciones para que las nuevas generaciones vean esto como parte del aprendizaje tecnológico.
Más información:
- https://www.gob.mx/cns
- National Cyber Security Alliance (NCSA) https://staysafeonline.org/stay-safe-online/
- STOP. THINK. CONNECT.
https://www.stopthinkconnect.org/tips-advice/spanish-tips-and-advice
* [email protected], [email protected], [email protected]
Twittear