A pesar de que las estafas electrónicas (ciberestafa) existen desde hace mucho tiempo, en la República Dominicana fue hasta junio de 2018 cuando se anunció una estrategia de seguridad cibernética en el marco del Decreto 230-18, que establece y regula la Estrategia Nacional de Ciberseguridad 2018-2021. La misión es implantar los mecanismos adecuados de seguridad cibernética para la protección del Estado, sus habitantes y, en términos más generales, la seguridad nacional.
Sin embargo, los indicadores del país, de acuerdo con el reporte de Ciberseguridad 2020, realizado por el Banco Interamericano de Desarrollo (BID) y la Organización de los Estados Americanos (OEA), están con un nivel bajo en los “Mecanismos de Denuncia”.
Así fui víctima de una ciberestafa: caso Ángel
“Yo llegué de viaje y había vuelto como con $500 dólares. En ese momento quería comprarme un Iphone 7 Plus, que estaba acabadito de salir y lo vi en eMarket, una tienda al estilo Corotos, virtual, donde tú compras y vendes”.
Así fue el comienzo de una estafa que le costó RD$30,000.00. “Me contacto con una supuesta tienda que hay en Punta Cana y ellos tienen el teléfono a muy buen precio. Me entregan un número de cuenta para que yo haga el depósito y ellos iban a poner el móvil en Metro Pac para hacérmelo llegar a Santiago, tan pronto efectuara el pago”.
Esta estasfa fue realizada a través de WhatsApp, una modalidad muy simple de robo y en la que cayó Angel. “La negociación fue por WhatsApp. Tras la transferencia del dinero, le mando el comprobante y esta persona simplemente desapareció, me bloqueó, la llamadas se desviaban. Nunca más supe de él”.
Lo curioso de este robo es que la víctima pidió la cédula del “vendedor” en cuestión, y al empezar las indagaciones, el documento de identidad pertenecía a otra persona que también fue estafada. “Cuando voy al DICAT (Departamento de Investigación de Crímenes y Delitos de Alta Tecnología), y pongo la denuncia, a esa persona igual la habían estafado”.
Por su parte, lo más aterrador para Angel era que los delincuentes robaran a más personas, ahora haciéndose pasar por él. “Esto es así porque yo les mande mi cédula”.
Cómo evitar ser víctima de una ciberestafa por internet
Que un precio sea muy inferior al valor de mercado puede parecer muy tentador, pero en realidad es sospechoso per sé. Ese es el primer paso para no caer en una estafa en Internet. Más allá del precio, hay otros factores que pueden ser tomados en cuenta a la hora de comprar por Internet.
Businessman logging in to his tablet
Revisar la antigüedad de la cuenta de la red social o el perfil del vendedor de la plataforma de comercio electrónico, su reputación y comentarios de anteriores clientes. También toma en cuenta que los delincuentes realizan unas cuantas ventas reales o simulan testimonios de supuestos clientes, como anzuelo, para atraer a incautos.
Pedir referencias del vendedor o tienda digital en grupos especializados que hay en Facebook o WhatsApp.
Exige al vendedor que haga una videollamada para verle el rostro y ver el producto. Adicional a esto, solicitar una foto de la cédula de identidad.
En caso de tener a algún amigo o familiar en la ciudad del vendedor, pedirle que realice la compra contra entrega.
En cuanto a formas de pago, si no conocemos el comercio, mejor apostar por servicios que actúan como intermediario como PayPal o tarjetas prepago en su modalidad física o virtual, a las que podremos introducir la cantidad a abonar.
Tanto en el caso de pagar con Paypal como en el de hacerlo con tarjeta, es esencial que en ese paso la web salte a la pasarela de pago pertinente, de modo que la información de nuestros datos financieros solo la tenga, o bien el banco o bien Paypal.
La cantidad de usuarios de la banca digital ascendió a 4,522,157 al finalizar agosto de 2021, lo que supone un incremento de 4% con relación a diciembre de 2020.
Debido a esto, la banca dominicana ha fortalecido y acelerado los procesos en materia de ciberseguridad, procurando cumplir con los estamentos regulatorios, así como también satisfacer la necesidad y demanda de los clientes.
Por lo tanto, al cabo de este año, los bancos habrán invertido un total de RD$1,350 millones de pesos, a fin de garantizar la seguridad de las transacciones financieras a través de las diferentes plataformas digitales.
La inversión realizada en materia de ciberseguridad se destinó a la adquisición e implementación de herramientas tecnológicas, contrataciones de servicios digitales e incorporación de equipos de última generación, entre otras acciones.
Además, los bancos múltiples han difundido contenidos de forma frecuente para orientar a sus clientes sobre el uso adecuado de la tecnología.
Al mismo tiempo, mantienen la capacitación constante del personal buscando apegarse a las mejores prácticas.
Por nuestra parte, como Asociación de Bancos Múltiples hemos promovido la campaña de orientación Yo Navego Seguro, con la meta de fomentar y crear en los ciudadanos hábitos seguros en el uso de las plataformas digitales.
Con esto, como sector, mantenemos firme nuestra postura de continuar a la vanguardia de los servicios digitales y garantizar el fortalecimiento de los productos bancarios en la República Dominicana, acorde a la demanda de la sociedad actual.
Buenas tardes Sr. Salvador, precisamente para prevenir ese tipo de acciones hemos puesto en marcha la campaña de orientación en materia de #ciberseguridad Yo Navego Seguro. Le invitamos a conocerla.https://t.co/4vd6pXmIakhttps://t.co/AUjzTeEZhU
Ya te hemos enseñado acerca del phishing y lasformas de engaño de los ciberdelincuentes. Pero ahora te mostramos el caso de David, una víctima de una ciberestafa y cómo logro, por una buena decisión y estar informado de qué hacer en estos casos, recuperar su dinero.
Sigue leyendo ↴ y aprende más medidas de prevención para evitar una ciberestafa.
David, quien fue víctima de una ciberestafa, nos relata su experiencia. “Pasó cuando estaba en el trabajo y de repente me llegó un mensaje de que hice una compra por internet de un dólar”.
Pensaba que todo quedaría ahí porque el correo señalaba que si quería cancelar la transacción “que diera al botón”. Como todo parecía relativamente normal dentro del accionar y ante una situación así, continuó con las indicaciones.
“Y cuando di click me envío a la página del banco. Luego cuando puse mi clave y contraseña y me pidió un código y lo puse porque estaba todo tal cual como reconocía en mi banco. Cuando puse el código, me desaparecieron RD$20,000 pesos”.
Su rápido accionar ayudó a solucionar el robo en poco tiempo. “Imprimí la transacción e imprimí el correo electrónico que me enviaron y lo llevé al banco el mismo día a las 3:00 de la tarde porque el mensaje me llegó a la 1:00”.
Destaca que en la institución bancaria “sometieron todo. Bloquearon la cuenta donde llegó el dinero y me devolvieron el dinero en un mes, aunque me garantizaron que en seis meses me lo iban a devolver. Pero el proceso fue rápido”.
“El proceso se hizo rápido y a los 30 días me devolvieron el dinero a mi cuenta”.
David
Un típico caso de “Phishing”
“Phishing” es una forma de engaño en la cual los atacantes envían un mensaje (anzuelo) a una o a varias personas, con el propósito de convencerlas de que revelen sus datos personales y así, como en el caso de David, realizar acciones fraudulentas como transferencias de fondos de su cuenta bancaria, compras con sus tarjetas de crédito u otros comportamientos delictivos que requieren el empleo de tales datos.
Medidas de prevención para evitar ser víctima de una ciberestafa
Si te pasa como a David, en la que una compra no realizada por ti, te pide introducir tus datos, preferiblemente comunícate directamente con la entidad financiera, recurriendo al número telefónico conocido y proporcionado por el banco través de medios confiables, como por ejemplo, su último resumen de cuenta. Otra alternativa consiste en entrar a la página oficial de la organización, ingresando la dirección de Internet correspondiente en el navegador.
Evita ingresar al sitio web de una entidad financiera o de comercio electrónico desde un cyber-café, locutorio u otro lugar público. Tanto las redes como las computadoras instaladas en estos lugares podrían contener software o hardware malicioso, destinados a capturar tus datos personales.
Dentro de lo posible, escribe la dirección web tú mismo en el navegador y busca los indicadores de seguridad del sitio. Al hacerlo, deberás notar que la dirección web comienza con https://, donde la s indica que la transmisión de información es segura. Verifica también que en la parte inferior de su navegador aparezca un candado cerrado. Al hacer clic sobre este último, podrás comprobar la validez del certificado digital y obtener información sobre la identidad del sitio al que estás accediendo.
Revisa tus resúmenes bancarios y de tarjeta de crédito tan pronto como los recibes. Si detectas cargos u operaciones no autorizadas, comunícate de inmediato con la organización emisora. También contáctate con ella si se produce una demora inusual en la recepción del resumen.
Por ultimo y no menos importante, no contestes ningún mensaje que resulte sospechoso. Si recibes un correo electrónico que te informa de un evento adverso vinculado a tu cuenta bancaria, comunícate directamente con tu institución bancaria a través del numero y vías habituales. Si del mismo modo, te envían un SMS de bienvenida a un servicio que no has contratado, bórralo y olvídate.
La presencia en línea de un negocio trae consigo buenas ventas pero al mismo tiempo riesgos. Con las siguientes buenas prácticas podrás sacarle el mayorprovecho a tu tienda virtual y reducir al mínimo las amenazas de seguridad.
4 ciberdelitos que pueden afectar a tu comercio electrónico
Malware: causa daño a tu computador, e incluso puede robar tus datos.
Phishing: roba tu información privada, te hace un gasto económico o infecta tu dispositivo.
Defacement: modifica tu página web total o parcialmente con fines económicos o propagandísticos.
Pago con tarjeta robada: se realiza el pago de los servicios o productos utilizando el número de una tarjeta sin la aprobación del dueño, bien sea porque la obtuvo de manera física o por robarla.
Así puedes proteger tu tienda virtual
Solo conserva los datos necesarios
No hay necesidad de guardar la información completa de las tarjetas (numeración, fecha de expiración y el código CVV) de tus clientes. A fin de cuentas esto te convierte en un blanco para ser víctima de phishing.
En ocasiones, con los datos de nombre de usuario y dirección de entrega es más que suficiente.
Crea copias de seguridad frecuentes
El Instituto Nacional de Ciberseguridad (INCIBE) de España asegura que un sistema de copias de seguridad puede hacer que una tienda que se ha visto afectada por un fallo de seguridad pueda recuperar su actividad diaria sin complicaciones.
Las copias de seguridad o backups son grandes aliados a la hora de proteger tu tienda online de ciberdelitos. Fuente externa
Mantén el software de la empresa actualizado en la última versión
El hecho de que sus sistemas y dispositivos carezcan de la más reciente actualización supone un peligro para la seguridad de su e-commerce.
Además de agregar funcionalidades, las actualizaciones también corrigen errores de seguridad que pudieran ser utilizados por malhechores para apropiarse de su sitio web.
Establecer una política de actualizaciones, tanto si es automática como manual solucionará las vulnerabilidades descubiertas de los sistemas operativos y las aplicaciones que gestiona la organización.
INCIBE
Crea conciencia en los empleados
En una tienda virtual se maneja un gran flujo de información sensible sobre los clientes que puede resultar atractivo para los ciberdelincuentes. Para protegerla, los empleados de tu empresa son una pieza clave.
Si ya posees políticas ciberseguras y desconoces cómo hacer para que tus empleados la cumplan, aquí te decimos cómo lograrlo.
Tener entre tu equipo a un especialista en seguridad de la información reducirá al mínimo la posibilidad de un ataque. Parte de su trabajo será activar protocolos y recursos extras para preservar la integridad de tu comercio electrónico.
Además cada cierto tiempo realizará auditorías al sistema para descubrir las debilidades que pudiera poseer y las soluciones aplicables para corregirlas.
Uno de los aspectos que más les interesa a tus clientes es la seguridad que puedas brindarle, tanto a él como a su información. Así que con estas 5 medidas podrás proteger tu tienda online de ciberdelitos.
Descarga nuestra guía de ciberseguridad para empresas aquí
Si bien las noticias de ataques de ciberseguridad se están volviendo más frecuentes, en la industria del cine y la televisión se han explorado estos conceptos desde hace un tiempo. Te hayas dado cuenta o no, las historias que vemos en la pantalla nos dejan grandes enseñanzas sobre este tipo de eventos. Por eso, hemos recopilado 5 lecciones de ciberseguridad de películas y series que de seguro has visto.
1. Los correos engañosos pueden venir de cualquiera en Ocean’s 8 (Las Estafadoras)
Para obtener un mapa del sistema de seguridad del museo Met y robar unas joyas, la pirata informática Nine Ball (interpretada por Rihanna) identifica un objetivo en el personal del museo y descubre en Facebook que es un devoto fanático de Wheaten Terriers, una raza de perros.
Inmediatamente envía un creíble correo falso del club de fans de estas mascotas a su objetivo, en lo que se conoce como un ataque de “phishing“.
El empleado cae en la trampa y hace clic en un enlace incrustado que instala un software oculto que Nine Ball luego usa para obtener la información que necesita.
Uno de los momentos más importantes de la segunda temporada de esta serie fue como Elliot escribió un malware para Android, explotando una vulnerabilidad que estaba presente en los teléfonos que suelen usar los agentes del FBI, con fines de desviar la investigación.
Esto nos deja de enseñanza que, al igual que con sus proveedores de servicios, los dispositivos y programas que están dentro de tus redes empresariales deben estar certificados y examinados. Generalmente no es fácil determinar cuándo y dónde tus empleados acceden a los recursos de la empresa, por lo que tener este tipo de controles y pruebas son importantes con el fin de detectar cualquier vulnerabilidad y que pueda ser arreglada a tiempo, antes de ser víctima de un ciberataque.
3. CSI Cyber: Todo dispositivo conectado a Internet puede ser hackeado
¿Quién no conoce a CSI? En su versión “Cyber”, el enfoque es puramente tecnológico: los criminales que hay que detener son piratas informáticos que pueden hackear todo tipo de dispositivos inteligentes y que están conectados a la red, como monitores de bebés o consolas de videojuegos.
La lección está a simple vista y respaldada por expertos: “hicieron un buen trabajo (…) al mostrar al público que los dispositivos conectados a Internet son susceptibles de ser pirateados”, dijo Kevin Epstein, vicepresidente de seguridad avanzada de Proofpoint.
Benedict Cumberbatch interpreta al genio inglés Alan Turing mientras intenta descifrar el código alemán Enigma con la ayuda de otros matemáticos, acción clave durante la Segunda Guerra Mundial.
¿La enseñanza? Las contraseñas de computadora, como el cifrado de Enigma, son vulnerables a las palabras y frases comunes. Al estudiar la probabilidad de ocurrencia de frases, el equipo de Turing pudo aplicar un “ataque de diccionario” reproduciendo palabras comunes de la época como “Heil Hitler” contra los mensajes criptográficos de Enigma, disminuyendo así con éxito la complejidad del cifrado en importantes órdenes de magnitud.
Tus contraseñas también pueden ser seguras con estos tips.
5. Hasta en la Guerra de las Galaxias se pueden filtrar datos
Hace mucho tiempo, en una galaxia muy, muy lejana … el Imperio fue víctima de la peor filtración de datos de la historia. O, del universo, en este caso.
Todo fan de Star Wars sabe que el Imperio había diseñado, y casi terminó de construir, la famosa Estrella de la Muerte. Luego los diseños fueron robados por los rebeldes y cargados en un droide, que es el equivalente a una memoria USB, pero con personalidad, en este contexto que escapa con los datos robados.
Es discutible si se trata realmente de un incidente de seguridad cibernética o de un fallo de seguridad física más tradicional; pero, de cualquier manera, ahora sabemos que la información sensible y los medios de almacenamiento extraíbles como los USB o un disco duro externo, no se mezclan. Permitir que se acceda a datos confidenciales de forma no autorizada, ya sea física o lógicamente, es un problema.
Con una política de escritorio, puedes evitar que esto pase. Mira como implementarla.
¿Escritorio limpio? ¿a qué nos referimos? La política de escritorio limpio es una práctica que busca prevenir la pérdida de datos corporativos e información sensible en los puestos de trabajo.
Asimismo, mediante la aplicación de lineamientos preestablecidos, busca evitar que dentro y fuera de los horarios de trabajo, personas malintencionadas tengan acceso no autorizado a equipos de cómputos, medios extraíbles, dispositivos de impresión y digitalización de documentos.
Un dato importante es que cualquier información o documento dejado encima de tu escritorio o hasta incluso en la pantalla de tu computadora puede constituir información vulnerable. Siendo más grave cuando se trata de espacios que son visitados por personas ajenas a la institución.
Ahora bien, ¿Cómo puedes aplicar la política de escritorio limpio en tu espacio de trabajo?
Al salir de tu oficina o al finalizar tu jornada laboral, asegúrate de:
Dejar tu escritorio libre de documentos físicos, medios extraíbles y/o dispositivos móviles que contengan información privada o vulnerable.
Mantener bajo llave los documentos con información sensible. Esto para evitar la pérdida de los mismos.
Cerrar sesión en los sistemas institucionales.
Apagar o bloquear tus equipos computacionales. Cuando regreses, verifica que el equipo solicite la clave de acceso.
Resguardar las contraseñas. Se recomienda no exponer las claves de acceso en tu computadora, cerca de este o en lugares muy visibles.
Asegúrate de limpiar pizarras y equipos utilizados para presentaciones y/o reuniones.
Luego de imprimir o escanear algún documento, debes retirarlo inmediatamente. Los dispositivos de impresión y/o escaneo deben permanecer libres de documentos.
Confirma que la pantalla de tu computadora (escritorio) u otro dispositivo que utilices, esté libre de archivos o documentos.
Es bueno saber que hay muchas formas de llevar a cabo estos lineamientos.
Es posible acatar distintas reglas dependiendo de la naturaleza de la institución. Sin embargo, la decisión de llevar a cabo esta política de escritorio limpio en las empresas, debe ser tomada basándose en las necesidades de la misma y de los empleados.
Lo que sí podemos asegurarte es que mantener un escritorio limpio o bien, una oficina ordenada, contribuye a la productividad, confidencialidad y seguridad de las informaciones en los puestos de trabajo.
Era una mañana normal en la vida de Manuel. Se encontraba trabajando como contable en una empresa local. Al momento del almuerzo recibe un mensaje por WhatsApp de su vecina Natalie. Las conversaciones con ella eran regulares por lo que no se extrañó:
-Hola Manuel, ¿cómo estás?*
–Todo bien hasta ahora. Natalie, cuéntame, ¿qué hay de nuevo?
-Ay, no sabes. Mi hermano tuvo una accidente de motocicleta grave y lo tienen que operar de emergencia. Son RD $20,000 y no sé qué hacer. ¿Me lo puedes prestar? Yo te lo pago en dos quincenas- escribió ella.
La primera reacción de Manuel fue de preocupación y decidió llamarla para que le explicara los detalles de la situación. Marcó dos veces y ella nunca atendió.
-Es que ahora no quiero hablar. Me siento muy angustiada- argumentó ella.
Esto sí se lo encontró raro. Si algo caracterizaba a su vecina era su incansable necesidad de comunicarse, sin embargo, optó por ayudarla:
-Natalie, dame tu número de cuenta para darte el dinero- dijo él.
-Ay, mil gracias, ahí te mando la información-, respondió.
Manuel se percató que el nombre del dueño de la cuenta no coincidía ni con el de ella ni con el de su hermano.
– Mira, pero, esa cuenta de quién es, no reconozco el nombre- expresó él.
– Es de mi primo, él está allá en la clínica esperando el dinero para que puedan operar a mi hermano. Dime si me puedes ayudar porque lo necesito URGENTE.
Entendió que las señales coincidían con uno llamado “atrapado en el extranjero”, que se caracteriza por la sensación de urgencia, necesidad de transferir dinero, imposibilidad de tomar una llamada, y la suplantación de identidad de un ser querido. Tomó de inmediato su celular y le escribió al pirata informático.
– Tú no eres Natalie. Engaña a alguien más-. Segundos después el estafador lo bloqueó.
Con esa misma rapidez, Manuel contactó a Natalie por otra red social para ponerla al tanto de lo que ocurría con su WhatsApp.
La información es poder y más cuando se trata de ciberseguridad. Los maleantes apelan a la buena fe de las personas para engañarlas y sacar provecho de ellas.
Entonces:
¿Cómo evitar estafas vía WhatsApp?
En cierta medida, la situación del hackeo de la cuenta de mensajería pudo haberse evitado al activar la verificación en dos pasos, una función opcional que añade una capa extra de seguridad. Cuando la activas, creas y confirmas un PIN único que se requiere para acceder a tu cuenta. Para que la recuerdes la app te pedirá que la ingreses de vez en cuando.
Ojo, ya los delincuentes informáticos encontraron cómo burlar esto. Te explicamos brevemente la manera en que lo hacen.
Los atacantes introducen el número de teléfono que se va a asociar (número de la víctima).
Luego, el sistema envía a ese número un mensaje de texto con un código de verificación.
El estafador se hace pasar por un amigo de la víctima (a quien previamente le ha suplantado la identidad), y le escribe: “Hola. Lo siento. Te envié un código de 6 dígitos por SMS por error. ¿Me lo puedes pasar? Es urgente”.
Si la víctima lo facilita, el atacante tendrá acceso a la cuenta en su dispositivo y a todos los contactos que existan.
Ya estás prevenido y esperamos que nunca te enfrentes a esta situación, pero si te toca ya sabes qué hacer.
Ahora que sabes cómo pueden estafarnos vía WhatsApp, aprende ⬇
La pandemia nos enseñó que tenemos en nuestras manos el control de nuestra seguridad física.
Pero qué pasa con la ciberseguridad cuando usamos nuestras redes sociales, cuando recibimos un correo electrónico, o nos conectamos a una Wifi pública. Sabes… ¿cómo navegar seguro? Mira el siguiente video y responde.
Aprende más con nosotros en nuestras diferentes secciones: Cómo Navego Seguro para más información de cómo usar adecuadamente el internet, redes sociales y computadoras.
Si tienes una empresa o te interesa más información sobre cómo navegar seguro en tu organización visita la sección Tu empresa.
O ten a mano infografías muy útiles para tu ciberseguridad en el apartado: Descárgalo.
Más del 50% de los empleados visitan páginas web o contenidos no relacionados con su puesto de trabajo, según un estudio de Eserp Business & Law School.
Esto podría resultar en un riesgo a la seguridad de la información confidencial de una empresa, si los colaboradores no cumplen con las políticas de ciberseguridad necesarias para prevenir los delitos informáticos.
Entonces ¿cómo puedes implementar políticas de ciberseguridad que sean efectivas y respetadas?
Teoría de los empujoncitos
Diariamente tu equipo de trabajo debe tomar diferentes decisiones al utilizar internet. Desde la elección de la Wifi adecuada para conectarse hasta descargar o no una app.
Al respecto, Thomas Paulino, presidente de ciberseguridad de ABA, considera que “es en cada uno de estos momentos en que están expuestos a un fraude. Por lo que, al final, lo que va a minimizar la exposición al riesgo es la madurez que tenga el usuario”.
De acuerdo con el libro Decisiones Irracionales en Ciberseguridad, la “teoría del empujoncito, consiste en ayudar a tus empleados a que tomen decisiones inteligentes y que, a su vez, cumplan con las medidas de ciberseguridad sin que sientan que les restringen su libertad”.
El siguiente ejemplo grafica esta “teoría del empujoncito”:
“Estás en una cafetería. Necesitas conectar tu smartphone a una WiFi. Miras tu pantalla y ves estas opciones. Supón que conoces o puedes pedir la contraseña en caso de que se te exigiera una. ¿Qué WiFi elegirías?
Imagen de una red wifi pública. Foto de Libro Decisiones Irracionales en Ciberseguridad
Dependiendo de tu nivel de concienciación en seguridad, irías a por la primera, mi38, que parece tener la mejor cobertura, o a por v29o, que no está mal de cobertura, pero es segura y pide contraseña.
Imagina que estás en la misma cafetería, pero en tu smartphone aparece esta nueva pantalla de listado de redes WiFi disponibles. ¿Cuál elegirías ahora?
Imagen de una red wifi segura. Foto de Libro Decisiones Irracionales en Ciberseguridad
Tengas o no conciencia elevada en materia de seguridad, apostaríamos a que seleccionas 3gk6. ¿Qué ha cambiado? Son las mismas redes WiFi, pero presentadas de forma diferente.
Sin que seas ni siquiera consciente, esta presentación habrá influido en tu decisión.
Es decir que juzgamos como más seguro lo que está en color verde que en rojo, favorecemos las primeras opciones de una lista frente a las últimas, hacemos más caso a pistas visuales (candados) que a textuales, primamos la (supuesta) velocidad frente a la seguridad, etc.
Todo ello conduce a que se seleccione la red 3gk6.
Políticas de ciberseguridad que no parezcanobligatorias
Las políticas de seguridad, según el sitio web UNIR, consisten en una serie de normas y directrices que permiten garantizar la confidencialidad, integridad y disponibilidad de la información, minimizando los riesgos que le afectan.
Pero para dar a conocer a los empleados las normas de seguridad es necesario que estas sean:
Concretas: con procedimientos y reglas bien definidos.
Claras: que expliquen de forma sencilla y directa las responsabilidades y obligaciones de los usuarios, sean colaboradores, administradores o equipo directivo.
Según el profesor experto en ciber leyes R. Calo, existen maneras de lograr que los usuarios acaten e implementen las políticas de seguridad con éxito.
“Por ejemplo, volviendo a las contraseñas, si quieres que los usuarios de tu sistema las creen más seguras según las directrices de tu política de seguridad mencionada anteriormente, puedes añadir un medidor de la fortaleza de la contraseña”.
Los usuarios sienten la necesidad de conseguir una contraseña fuerte y es más probable que sigan añadiendo caracteres y complicándola hasta que el resultado sea un flamante «contraseña robusta» en color verde.
A pesar de que el sistema no prohíbe las contraseñas débiles, respetando así la autonomía de los usuarios, este sencillo empujoncito eleva drásticamente la complejidad de las contraseñas creadas”, explica el libro.
Educa mientras aplicas las políticas de seguridad
Otra manera de fomentar, sin forzar, un comportamiento seguro de nuestros usuarios es creando notificaciones informativas que lleven a la reflexión junto al medidor de fortaleza.
“Por ejemplo, el formulario de introducción de nuevas contraseñas puede incluir un mensaje informando de las características esperadas en las contraseñas y de la importancia de las contraseñas robustas para prevenir ataques, etc., e incluir el medidor de fortaleza en la misma página de creación de contraseñas”.
Más opciones
• Elecciones predeterminadas: Ofrece más de una opción, pero asegurándote siempre de que la predeterminada sea la más segura. Aunque permitas al usuario seleccionar otra opción si así lo desea, la mayoría no lo hará.
• Feedback: Proporciona información al usuario para que comprenda si cada acción está teniendo el resultado esperado mientras se está ejecutando una tarea. Por ejemplo, informar del grado de seguridad alcanzado durante la configuración de una aplicación o servicio, o bien informar del nivel de riesgo de una acción antes de apretar el botón «Enviar».
Usa un lenguaje o comparaciones que el usuario entienda.
Por ejemplo, el uso de metáforas bien conocidas, como «cerrojos» y «ladrones», hizo que los usuarios entendieran mejor la información y tomaran mejores decisiones (Raja, Hawkey, Hsu, Wang, & Beznosov, 2011).
Informar de cuánta gente puede ver tu post en redes sociales condujo a que muchos usuarios borraran el post para evitar el arrepentimiento en el futuro (Wang, y otros, 2014).
• Comportamiento normativo: Muestra el lugar que ocupa cada usuario en relación a la medida de seguridad en comparación con sus compañeros.
Por ejemplo, tras la selección de una contraseña, el mensaje «el 87% de tus compañeros han creado una contraseña más robusta que tú» consigue que usuarios que crearon una débil recapaciten y creen una más segura.
• Orden: Presenta la opción más segura al principio de la lista. Tendemos a seleccionar lo primero que nos ofrecen.
• Convenciones: Usa convenciones pictográficas: el color verde indica «seguro», el color rojo indica «peligro». Un candado representa seguridad, y así sucesivamente.
• Prominencia: Destacar las opciones seguras atrae la atención sobre ellas y facilita su selección. Cuanto más visible sea la opción más segura, mayor será la probabilidad de que la seleccionen.
Aplica las políticas de seguridad con transparencia
Al crear medidas de ciberseguridad a través de estos “empujoncitos” debes hacerlo de manera ética sin violentar la libertad de tus colaboradores.
La misma teoría indica que hay una serie de principios a la hora de “diseñar tus propios empujoncitos para tu organización” (Renaud & Zimmermann, 2018):
Autonomía: El usuario final debería ser libre de elegir cualquiera de las opciones ofrecidas. Es decir que ninguna opción será prohibida o eliminada del entorno, y si lo hacen se debe explicar por qué.
Beneficio: Debe significar un beneficio claro y real para la seguridad de la organización.
Justicia: Debería beneficiar al máximo número posible de individuos dentro del sistema.
Responsabilidad social: Deberían contemplarse siempre empujoncitos pro-sociales que avancen el bien común.
Integridad: Los empujoncitos deben diseñarse con un respaldo científico, en la medida de lo posible.
Al final la idea es que ayudes a tus usuarios o colaboradores a tomar mejores decisiones a la hora de navegar por la internet y red empresarial. Empújalos a navegar seguro, siempre respetando su libertad.
Antes de crear la política de ciberseguridad, lee esto 👇
Tus contactos te dicen que están recibiendo un email desde tu cuenta de correo vendiéndoles un reloj de marca a precios increíbles. Si es así, es casi seguro que te hayan robado tu email.
Como usamos nuestros correos electrónicos en aplicaciones, suscripciones de servicios o en sites de interés, los ciberdelincuentes hackean las cuentas para obtener toda esa información importante que dejas.
Pero, ¿cómo te roban tu email?
Correo phishing
El phishing es una de las técnicas de ingeniería social más usada para acceder de manera fraudulenta a los datos de inicio de sesión de tu cuenta de correo electrónico.
Es decir, los ciberdelincuentes suplantan la identidad de tu servicio de mensajería de emails (Gmail, Hotmail, Yahoo, Outlook).
Cómo comprobarlo:
Colocan una dirección en el campo remitente casi idéntica a la legítima.
Usan logos, cabeceras y pie de páginas similares a los proveedores de correo.
Agregan al correo enlaces a fuentes oficiales.
Así luce un correo fraudulento, de actividad inusual de Microsoft:
Imagen tomada de welivesecurity.com
En este caso la supuesta actividad inusual le pide al usuario que confirme si realizó tal inicio de sesión con un link que dice “revisar la actividad reciente” y que al dar clic lo llevará a un sitio, también falso.
La página a la que llega el usuario le solicitará ingresar su contraseña, momento en el que el ciberdelincuente habrá obtenido los datos de acceso de la víctima.
[Al final de este artículo comprueba si tu contraseña es segura con nuestro verificador]
El email fraudulento ha sustituido sutilmente algunos aspectos, que si no somos conscientes pueden pasar desapercibidos:
El URL sustituye puntos por guiones.
Hay caracteres de más en la dirección.
El diseño parece auténtico, pero tiene ligeros errores.
Así luce la página falsa para que el usuario coloque su contraseña. Imagen tomada de welivesecurity.com
Consejo del experto: de acuerdo con Miguel M. Arias, experto en ciberseguridad de la Universidad INTEC, puedes evitar el robo de tu correo considerando la autenticidad del email (dude si te parece extraño), verifica la dirección de correo del remitente; chequea bien el cuerpo del correo para detectar faltas ortográficas, pon atención al horario de envío y el contexto del mensaje.
Cada tecla que marcas cuando escribes en tu computadora puede dejar un rastro a través del cual el ciberdelincuente puede adivinar tu contraseña.
¿Cómo lo hace? Con la instalación de un tipo de malware llamado keylogger que, aunque es un programa que puede ser usado legítimamente, cuando se usa en contra de la seguridad se convierte en un mecanismo de fraude.
Ese software rastrea cada tecla y envía la información al pirata informático, que da con la contraseña de cualquier cuenta de email o aplicación, cuenta de banco o los datos de la tarjeta de crédito, para hacer más ataques.
Cómo evitarlo: Usa un gestor de contraseña para crear claves fuertes y seguras y recuerda actualizarlas periódicamente.
Mensajes de texto
Aunque los mensajes de textos (SMS) están en desuso, pueden ser una vía para el robo de email.
Esta estafa consiste en el envío de un SMS a tu celular a través del cual te indican, supuestamente enviado por Google (o cualquier otra empresa de mensajería) para informar al usuario, que alguien ha intentado entrar en su Gmail.
Acto seguido recibes vía email un correo fraudulento que te alarma de un intento de inicio de sesión. Igual que en el caso anterior, adjuntarán un enlace que te llevará, supuestamente a una página para poder cambiar tu contraseña.
La estafa es tan limpia, que incluso el aparente servicio de Gmail enviará de vuelta otro SMS para solicitar el código de verificación, con lo que los ciberdelicuentes entran con la contraseña desde otra ubicación.
Solución: Si recibes un mensaje de texto similar, omítelo o elimínalo. No descargues ni des clic a ningún enlace.
Comprueba si tu contraseña es segura
Pon una contraseña de referencia en este cuadro:
Se necesitarían 0 segundos para descifrar su contraseña
