Boletín de febrero 2023

Como cada mes, volvemos con un nuevo boletín en el que conoceremos más en detalle qué son las cookies y algunas sanciones a las que se han enfrentado grandes empresas por estas.

Con la entrada en vigor del Reglamento General de Protección de Datos, de 2016, todas las páginas webs que recaben información sobre la navegación de los usuarios han sido obligadas a informar de esto a través de las conocidas cookies. El incumplimiento de ello o la falta de detalles puede derivar en sanciones económicas, desde 2018. Así lo hemos podido ver en casos como el de la famosa red social TikTok que, según informa TechRadar, se enfrenta a una multa enorme por información insuficiente sobre las cookies. La multa asciende a un total de 5 millones de euros, como consecuencia de la dificultad que se detectó para rechazar el uso de cookies, considerando que la aceptación de estas era más sencilla.

Otro de los ejemplos más recientes y más comentado fue la sanción que aplicó la Agencia Española de Protección de Datos (AEPD), el pasado año 2022 al gigante Google LLC, por ceder datos a terceros sin legitimación y obstaculizar el derecho a la supresión, así lo informa la propia AEPD. El organismo español detectó dos infracciones graves e impuso una sanción que supone un total de 10 millones de euros, adecúe a la normativa de protección de datos personales la comunicación de datos al Proyecto Lumen y suprimir todos los datos personales que así hayan sido solicitados e instar a este último a hacerlo también.

Un estudio realizado por la empresa Avast concluye que el 60% de los españoles acepta las cookies sin tener conocimientos sobre ellas. Por todo ello, es importante que todo el mundo conozca qué son las cookies y cómo funcionan.

Se conocen como cookies a pequeños archivos de datos que se almacenan en los ordenadores de los usuarios cuando visitan páginas web. Estas pueden almacenar datos como credenciales de usuario o el comportamiento en la navegación por la página.

Como bien describen desde ayudaley, estos archivos tienen diversas funcionalidades. Una de las más importantes es que permiten a las páginas web reconocer a los usuarios y almacenar sus credenciales evitando que deban identificarse en cada acceso que realizan.

Otro de los usos más comunes de estos ficheros es recordar el comportamiento y los hábitos que tienen los usuarios en su navegación, permitiendo mejorar la experiencia de estos y adaptar los anuncios a las necesidades de estos.

Con el fin de facilitar la incorporación de las cookies a las páginas web, la AEPD, ha creado una guía de referencia en la que podemos identificar además los tipos de cookies que existen y ejemplos de aplicación de estas. Así pues, la AEPD divide las cookies en función de quién las gestione, que pueden ser propias o de terceros y, por otro lado, en función de su finalidad, que pueden ser técnicas, de preferencias o personalización, análisis o medición y de publicidad. Finalmente, la AEPD también las divide en función del tiempo que se mantienen, que pueden ser de sesión o persistentes.

Además, en esta guía, y con la finalidad de evitar que los organismos puedan ser sancionados, establece una ayuda sobre qué información deben facilitar las cookies. Para ello, y basándose en el artículo 22 de la ley LSSI, se define que estos archivos deben facilitar a los usuarios información clara y completa sobre la utilización de los dispositivos de almacenamiento y recuperación de datos y, en particular, sobre los fines del tratamiento de los datos.

Debemos tener en cuenta que toda esta información almacenada, puede ser vulnerada y aprovechada por atacantes cibernéticos también. Actualmente, existen diversos métodos para extraer estos archivos y obtener información como credenciales de usuario o datos personales.

Algunos de estos, los podemos identificar en el blog de esedsl, entre los que destacan:

      • Session sniffing: a través de un analizador de paquetes, los atacantes pueden extraer las cookies que forman parte del tráfico de red.
      • Redes Wifi: Con la conexión a redes públicas, se puede analizar el tráfico y robar cookies de los usuarios.
      • Session fixation: A través de técnicas como el phishing, se pueden enviar enlaces maliciosos y conocer el ID de sesión del usuario.

Incidentes ya visibles relacionados con ciberataques por cookies los hemos podido ver con la alerta de una campaña de phishing que obtiene las cookies de sesión para lanzar un ataque BEC con el que robar dinero, así lo informa el periódico europapress. Para ello, los atacantes establecieron un punto medio entre el usuario y el servidor destino y pudieron interceptar el inicio de sesión del usuario, con el que extrajeron además la cookie. Con esta, los atacantes pueden replicar el inicio de sesión.

Finalmente, os dejamos una serie de recomendaciones descritas por esedsl:

      • Cerrar sesión de todos los sitios web
      • Eliminar cookies de navegación
      • Mantener los sistemas actualizados.
      • No acceder a enlaces desconocidos.

Boletín de enero 2023

Empezamos el año nuevo con un nuevo boletín en el que conoceremos más en detalle al chatGPT y cuáles son las aplicaciones actualmente de la inteligencia artificial.

A finales de 2022, la empresa OpenAI lanzó una nueva inteligencia artificial, al alcance de todos los usuarios que permite mantener conversaciones con cualquier persona y dar respuestas muy acertadas, el chatGPT. De esta manera, y con las capacidades que ha demostrado tener, esta inteligencia se ha hecho eco alrededor del mundo. Pero ¿sabes realmente qué es?

La inteligencia artificial, también conocida como IA, es una parte de la ciencia de la computación que trata de replicar y desarrollar inteligencia por sí misma permitiendo así a las máquinas pensar y razonar de manera autónoma. Para ello, esta inteligencia se basa en algoritmos de aprendizaje profundo.

Su gran capacidad de adaptación y aprendizaje ha permitido su aplicación en una gran cantidad de ámbitos, desde el sector de las finanzas, al sector industrial, naval, automovilístico o a sanidad. Así pues, un ejemplo reciente que se ha podido conocer, es que la marca Audi ha desarrollado internamente su propia IA, conocida como FelGAN y a la cual ha ido entrenando para ayudar a crear las llantas del futuro de la mano de diseñadores e ingenieros de la compañía.

Otro ejemplo de aplicación es en el ámbito de la sanidad donde se han detectado numerosas ventajas en el uso de esta. Así lo destaca el director de Digital Health de Eurecat, Felip Miralles, en una entrevista realizada por el periódico Infosalus, donde destaca que los primeros éxitos en cuanto a su aplicación se están dando sobre todo en el ámbito de la interpretación de la imagen médica, radiológica o de TAC en 3D. Estos éxitos permiten que los profesionales de la salud mejoren tanto en la precisión del diagnóstico como en la rapidez de este y les permite, además, adaptar los tratamientos a cada paciente.

Y, como es de esperar, uno de los campos donde más importancia presenta esta inteligencia es en el de la Ciberseguridad, donde se considera un elemento clave para combatir los ciberataques. Una reciente publicación de ThinkingBig, de Telefónica, destaca que “gracias a su capacidad de aprendizaje continuo, la IA puede identificar, priorizar y analizar amenazas” y describen que algunas de las ventajas que podemos encontrar en la IA en este ámbito son:

      • Análisis predictivo: Mediante los análisis predictivos, la IA puede prevenir futuras amenazas analizando comportamientos y realizando estudios estadísticos.
      • Detección automática de amenazas: Gracias a los algoritmos de aprendizaje automático, la IA puede detectar posibles amenazas de rendimiento.
      • Prevención de potenciales ataques: La IA permite detectar anomalías en la red y el flujo de datos a través del análisis de patrones.
      • Automatización de la seguridad: Al automatizar los protocolos de seguridad, se evitan errores humanos y se ahorra tiempo y esfuerzo.
      • Vulnerabilidades día cero: La IA permite eliminar vulnerabilidades de día cero que aprovechan los atacantes antes de que los responsables de los sistemas puedan resolverlo.

Una de las inteligencias artificiales más comentada últimamente es el ChatGPT que permite a sus usuarios realizar todo tipo de actividades, algunas muy aprovechadas como redactar noticias, ayuda en las actividades escolares o búsqueda de información con tan solo introducir una serie de indicaciones. Pero este tipo de IA también está permitiendo a sus usuarios ir más allá, como en el caso de la programación, donde el chat está ayudando a los programadores a encontrar errores en los códigos agilizando sus tareas y fortaleciéndolos, ya que les permite eliminar fallos que puedan ser aprovechados por atacantes. Eso sí, debemos tener en cuenta que todo aquello que incluyamos en la conversación con chatGPT queda registrado para que puedan mejorar sus capacidades, por lo que intenta no incluir información personal tuya ni peticiones que sean potencialmente peligrosas o delictivas, según recomiendan los expertos en Xataka.

Si bien es cierto que la IA puede ser muy útil si se aplica de manera correcta, estas facilidades que presenta pueden ser peligrosas en algunas ocasiones si se hace un mal uso de estas. Algunos ejemplos de estos son los casos como la IA desarrollada por Microsoft, VALLE-E, una IA similar a ChatGPT que es capaz de imitar tu voz con solo oírte 3 segundos, según informa 20minutos, que pese a que su finalidad no es esta, podría ser aprovechada para suplantar la identidad de las personas.

Otro ejemplo reciente, es la detección de los primeros usos de chatGPT para recrear malware, según 20minutos. Este hecho permite que personas sin conocimientos profundos en la materia puedan aprovecharlo para realizar ataques maliciosos con mayor facilidad.

Boletín de diciembre 2022

Como cada mes, y para terminar el año, en este boletín vamos a tratar el fraude online y cómo los delincuentes consiguen camuflar su identidad para robar tus datos.

Internet ha conseguido convertirse en un componente imprescindible en nuestro día a día y ha puesto al alcance de unos cuantos clicks un sinfín de posibilidades, permitiendo que podamos desde hacer desde videollamadas de un lado del mundo al otro a realizar las compras del supermercado en tan solo 15 minutos.

Esta facilidad y comodidad que nos ha proporcionado internet, sin embargo, también es explotada por los delincuentes, que aprovechan el anonimato y desconocimiento de los usuarios para conseguir robar los datos de estos a través de técnicas que se conocen como ingeniería social, que se aplica generalmente a través del phishing con el que consiguen estafar a los usuarios.

El imparable aumento de las estafas por internet, según declara Las Provincias, es una realidad. Declaran que “los fraudes a través de la red se han multiplicado por trece en diez años.” Además, aclaran que, en concreto, este tipo de delitos son los más acontecidos, “suponiendo el 87,5% de todas las infracciones penales relacionadas con la cibercriminalidad”.

Por lo general, algunas de las situaciones en las que suelen aprovecharse para lanzar estas campañas masivas son las épocas como la apertura del periodo de la Declaración de la Renta, Rebajas, Black Friday o Navidades, donde no solo los comercios son víctimas de suplantación de identidad, también se ven afectadas las empresas de mensajería.

Esto lo hemos podido ver últimamente en el caso de Hacienda y la Agencia Tributaria, que, tras abrir el periodo para el ejercicio de 2021, se lanzó una campaña masiva de phishing en el que, a través del correo electrónico se informaba al ciudadano que “está pendiente presentar cierta documentación”, según informaba la Guardia Civil en su cuenta oficial de Twitter y en el que pretendían descargar un malware.

Otro de estos casos que hemos podido escuchar estos días es una supuesta oferta por parte de Amazon en la que se regalan productos. Según publicó Maldita en su página web, esta estafa “circula principalmente a través de WhatsApp una supuesta promoción de Amazon que, con motivo del Black Friday, estaría regalando 5.000 productos gratis”, en la noticia No, Amazon no está regalando 5.000 productos gratis con motivo del Black Friday. En este caso realizaban una encuesta a sus víctimas de cuatro preguntas y les solicitaban una serie de datos personales y bancarios.

Otro ámbito en los que más casos podemos identificar este tipo de estafas son las campañas masivas suplantando la identidad de entidades bancarias en las que se anuncia al usuario que su cuenta será bloqueada próximamente o que se ha realizado un pago desde cuenta y que el usuario no reconoce y se les facilita un enlace en el que se piden los datos bancarios del usuario para poder acceder a su entorno y gestionar la situación.

Y, es que, aunque legalmente los delincuentes están incurriendo en un delito, los bancos no devuelven el dinero siempre a sus clientes, ya que, si estos son capaces de demostrar que el ciber incidente ocurrió por una negligencia grave por parte del usuario, pueden negarse al pago de las pérdidas que hayan podido ocasionarse.

Si bien es cierto, en estos últimos meses se ha podido apreciar una tendencia legal a favor de la víctima. Así lo informa El País en su noticia “los jueces se ponen de parte de las víctimas de phishing bancario”, donde comentan que “la reciente jurisprudencia es prácticamente unánime a la hora de considerar que el banco debe restituir las cantidades sustraídas por un tercero, ya que como depositario de los fondos tiene la obligación legal de conservar y devolver el dinero guardado”.

Con el fin de mantenerse protegidos y ayudar al resto de organizaciones a mantenerse seguras y al día, el personal del CSIRT-CV participó activamente en las jornadas STIC convocadas por el CCN los días 29 y 30 de noviembre y 01 de diciembre. En estas jornadas, los expertos de diferentes organizaciones compartieron las novedades más relevantes del año en curso y futuros, así como las tendencias de la ciberseguridad.

No te confíes, que las ciberestafas cada vez son mayores y más sofisticadas, por lo que debemos prestar atención siempre a cualquier información que nos llegue, en especial a aquellas que recibamos en épocas marcadas del año. Para ello, recuerda estos seis consejos sobre cómo evitarlas basados en un reciente informe de S2 Grupo, especialistas en ciberseguridad:

      • Nunca compres en tiendas desconocidas a través de enlaces vistos en redes sociales.
      • Desconfía de descuentos llamativos.
      • Siempre que sea posible, recoge los artículos en tienda y realiza el pago presencial.
      • Evita los pagos con móvil en sitios públicos en los que puedan observar tu PIN o clave de acceso.
      • Activa las opciones que ayudan a verificar quién es la persona que realiza la compra, como el reconocimiento facial, las huellas dactilares, etc.

Y si has sido víctima de cualquier ciberestafa:

      • Llama a tu banco para que cancelen la operación rápidamente.
      • Cambia tus claves de acceso.
      • Denuncia el fraude ante las autoridades competentes.

Boletín de noviembre 2022

Como cada mes, volvemos con un nuevo boletín en el que haremos referencia al día mundial de la Seguridad de la información y la importancia de mantenerse protegidos cuando teletrabajamos.

Este próximo 30 de noviembre celebramos de nuevo el día internacional de la Seguridad de la información.

En 1988, la Association for Computing Machinery (ACM) con el fin de mejorar la protección de los equipos informáticos, y como consecuencia del primer caso de malware que se registró bajo el nombre de “Gusanos de Morris”, declaró este día el día internacional de la Seguridad Informática, con el fin de concienciar a la población de la importancia de proteger tanto la información como sus recursos de posibles incidentes.

En estos últimos años hemos podido ver como las empresas cada vez se enfrentan a un mayor número de ciberincidentes, donde “casi el 69% de las empresas afirma que ha sufrido entre uno y dos ciberincidentes de gravedad durante este último año”, según ha confirmado el periódico El Economista. Así pues, en esta noticia también afirman que esta situación se ha producido “a raíz de las medidas de teletrabajo impuestas por el confinamiento”.

El teletrabajo nos ha permitido una mejor conciliación entre la vida personal y profesional y actualmente, según hemos podido ver en un informe de la empresa Silicon “las empresas que rechazan la incorporación del teletrabajo a su organización laboral afrontan una pérdida del talento disponible que llega a alcanzar el 25 %”, por lo que es evidente, que ha llegado para quedarse. Pero este nuevo modelo de trabajo, ha tenido implicaciones a nivel de ciberseguridad, dado que, según informa el periódico 20 minutos “los ciberataques en empresas aumentaron un 150% y el principal vector de entrada de virus es el error humano”. Esto abre una nueva problemática a las empresas, que deben buscar nuevos métodos de protección frente a las recientes amenazas que ha supuesto la implantación del teletrabajo, ya sea parcial o total.

La empresa Centum en una de sus recientes publicaciones, nos describe que los principales ciberataques en el teletrabajo son:

    • Ransomware: el objetivo principal es el secuestro de datos a través de este software malicioso. Es bastante común que tras estos ciberataques se pida un rescate, el cual suele ser monetario a cambio de la información robada.
    • Phishing: es uno de los ciberataques más comunes. La suplantación de identidad a través de correos electrónicos es un ataque que por lo general provoca graves consecuencias.

Uno de los casos que hemos podido ver en este último año y que afecta directamente a la redes WIFI de nuestros hogares, es el caso de Telefónica, según confirma el diario 20 minutos donde indican que “Telefónica pide a sus clientes cambiar las contraseñas del wifi tras sufrir un ciberataque”. Así, una vulnerabilidad en el WIFI de nuestro hogar, puede comprometer la seguridad de nuestra empresa durante el teletrabajo.

Por ello, fomentar una cultura en la informática basada en los principales ejes de esta debe ser uno de los aspectos más importantes a abordar en estos tiempos, haciendo conocedoras a todas las personas de los riesgos a los que están expuestas y cómo se pueden evitar y/o resolver situaciones de este ámbito.

Este año, además, el día de la Seguridad de la Información coincide con las jornadas que prepara el CCN-Cert, XVI Jornadas STIC CCN-CERT / IV Jornadas de Ciberdefensa ESPDEF-CERT “Un ciberescudo único para España”, cuya misión es “lograr una protección integral frente a todo tipo de riesgos y amenazas, construida bajo los principios de cooperación y colaboración de los actores indicados.”.

Este tipo de iniciativa reúne no solo a entidades privadas, sino también a Administraciones Públicas y Universidades, así como a la ciudadanía en general, con el fin de hacer a todos participes y poder reforzar el espacio cibernético a nivel nacional.

Por último, dejamos una serie de recomendaciones para que os mantengáis siempre protegidos:

    • Mantén actualizados tus equipos.
    • Protege el acceso a la información usando contraseñas.
    • No accedas a enlaces desconocidos.
    • Haz una copia de seguridad de tu información.
    • No te conectes a redes que no conozcas.