Los ciberataques y el Black Friday

21 noviembre, 2022

Este año, el esperado Black Friday, no llegará hasta el viernes 25 de noviembre, sin embargo, las empresas ya han empezado a lanzar sus campañas y promociones conocidas como “Semanas Black”. Y este acceso de compras, sobre todo online, durante el Black Friday debe preocuparnos teniendo en cuenta el aumento de ciberataques a día de hoy. Las ciberamenazas contra empresas, gobiernos y usuarios incrementan cada vez más.

En este artículo, queremos dar mecanismos de prevención para protegernos de los ciberataques. Sin embargo, antes vamos a ver que es un ciberataque y qué tipos de ciberamenazas podemos encontrar:

¿Qué entendemos por ciberataque?

Un ciberataque es un intento de alterar, exponer, desestabilizar, eliminar y destruir con el objetivo de obtener acceso sin autorización o utilizar un activo. En otras palabras, es un conjunto de acciones contra sistemas de información con el objetivo de perjudicar a personas, empresas o instituciones.

Según la Guía de ciberataques del Instituto Nacional de Ciberseguridad (INCIBE), podemos encontrar diferentes tipos de ciberataques:

Ataques a contraseñas: Suelen ser los más comunes y fáciles, su objetivo es conseguir la información almacenada en nuestras cuentas (datos bancarios, información de nuestros correos electrónicos o nuestra identidad mediante una red social).
Ataques por ingeniería social: Son ataques basados en el engaño y la manipulación con el objetivo de conseguir que revelemos información personal o puedan llegar a controlar nuestros dispositivos, como por ejemplo nuestro teléfono móvil. El ataque consiste en un mensaje que imita o suplanta la identidad de una persona, organización de confianza o banco, con la intención de confundir a la víctima para que se dirija a un sitio web o complete datos en una plataforma distinta (por ejemplo, incluyendo las credenciales para acceder a una entidad bancaria). Suelen ser mensajes urgentes y atractivos para evitar aplicar el sentido común. Dependiendo del medio utilizado puede ser:
- Phishing: mediante correo electrónico, redes sociales o mensajería instantánea (ej. WhatsApp),
- Smishing: a través de SMS, o
- Vishing: con llamadas telefónicas.

Dentro de los ataques por ingeniería social, también encontramos:

Gancho o Baiting: este ataque, conocido como “cebo”, tiene la finalidad de instalar un malware en nuestros dispositivos con el objetivo de robar nuestros datos o infectar nuestro equipo. Normalmente, se propaga con el uso de USB infectados.
Shoulder surfing: ¿Cuántas veces hemos visto usuarios en el transporte público mirando otros dispositivos “por encima del hombro”? Esta técnica tan usual puede convertirse en un ataque en el momento que ponemos nuestras contraseñas mientras, sin darnos cuenta, nos miran los dispositivos.

Ataques por malware: Son programas maliciosos con el objetivo de dañar un sistema informático y robar información para obtener un beneficio económico. Estos ataques pueden ser mediante virus (a través del correo electrónico, USB, aplicaciones, etc.), Adwares (softwares diseñados para mostrarnos anuncios no deseados de forma masiva), Spyware (supervisa la actividad para luego compartirlo con un usuario remoto), Troyanos (se camuflan como softwares legítimos), Backdoors (mediante el cual pueden tomar el control remoto de nuestros dispositivos), entre otros.

Actualmente, es el phishing la forma más sencilla y común de ciberataque, ya que no requiere grandes conocimientos para los ciberatacantes y ningún sistema operativo está completamente a salvo. Un claro ejemplo, es el ataque de phishing que se llevó a cabo en 2016 contra el director de la campaña de Hillary Clinton. A John Podesta se le hackeó su correo electrónico mediante un ataque de phishing que afirmaba que su contraseña se había visto comprometida.

Actualmente, los ciberataques están al orden del día y es necesario tomar las medidas adecuadas.

¿Cómo protegernos de los ciberataques?

CONTRASEÑAS: No guardes las contraseñas en notas o archivos sin cifrar ni en las webs o navegadores. No utilices contraseñas fáciles de recordar o con información personal (ej. fecha de nacimiento), ni utilices la misma contraseña para varios servicios. Además, es conveniente aplicar el factor de autenticación múltiple, siempre que el servicio lo permita, y utilizar gestores de contraseñas. Y ten cuidado al utilizar contraseñas en sitios públicos o dónde puedas ser observado por un tercero.

PHISHING, SMISHING O VISHING: Debemos leer el mensaje detenidamente, mirar quién es el remitente y comprobar que el enlace pertenece a la dirección que apunta (por ejemplo, si recibimos un mensaje de correo electrónico del banco BBVA y en enlace al que nos dirige es www.bvba.es, debemos identificar el error gramatical). No descargar ningún archivo hasta comprobar la veracidad del mensaje. Finalmente, en el caso de tratarse de un ataque por ingeniería social, recomendamos bloquear el contacto y eliminar el mensaje.

MALWARE: Mantén el antivirus actualizado. Evita descargar aplicaciones de sitios no oficiales o piratas, ni archivos sospechosos o poco fiables. Utiliza solo webs seguras con https y certificado digital y utiliza el modo incógnito cuando no quieras dejar rastro. Evita conectarte en redes públicas y buscar redes que poseen encriptación WPA (Acceso Protegido wifi).

Como usuario, debes proteger tus datos personales y tomar todas las medidas necesarias para disminuir el riesgo de ciberataques. Pero, ¿qué medidas puedes tomar como empresa?

Según un informe de Kaspersky de 2019, el 43% de los ataques digitales tienen como blanco, empresas pequeñas y sólo el 14% está preparada para enfrentarlos. Cuando una empresa sufre un ciberataque, no sólo se enfrenta a un posible bloqueo de sus sistemas y consecuentemente a una pérdida económica, sino que también puede sufrir una violación de seguridad de los datos personales.

Tal como se indica en los Considerandos 85 a 88 del Reglamento General de Protección de Datos, es responsabilidad del Responsable y Encargado la aplicación de medidas para prevenir “la pérdida de control sobre sus datos personales o restricción de sus derechos, discriminación, usurpación de identidad, pérdidas financieras, reversión no autorizada de la seudonimización, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, o cualquier otro perjuicio económico o social significativo para la persona física”.

En DATAX somos una empresa especializada en materia de protección de datos, seguridad de la información y Compliance.

Ofrecemos un servicio de consultoría integral para adecuar a su organización a todos los requisitos del Reglamento Europeo (RGPD 2016/679) relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, de obligado cumplimiento desde el 25 de mayo 2018.

Más de 18 años de experiencia en la adecuación de todo tipo de organizaciones y sectores de actividad, incluido el sector público y privado nos avalan.

Más de 10.000 clientes confían ya en nuestros conocimientos y profesionalidad en materia de protección de datos.

Laura Morató

Consultora en Protección de Datos.

CIBERATAQUE, ciberseguridad, proteccion, Protección de datos, seguridad de los datos, Seguridad informática

Cookie	Nombre	Finalidad / Más información	Vencimiento
	419ª6F17ACB 2CAC9810D93 1150D119930	Esta cookie es un identificador de sesión proporcionado por el servidor.
	cookieaccept	Almacena la aceptación de la instalación de cookies por parte del usuario para no mostrar repetidamente el mismo mensaje.	1 año
Google Analytics	_utma	PROTECCIÓN DE DATOS DATAX, SL apoya el uso de Google Analytics en el sitio web para poder hacer un seguimiento de la actividad realizada en él.	2 años
	_utmb	Las cookies de Google Analytics recopilan información de registro estándar y datos sobre los hábitos de los visitantes de forma anónima.	30 minutos
	_utmc	Determina si es necesario establecer nueva sesión	Sesión
	_utmt	Se utiliza para procesar el tipo de solicitud requerida por el usuario.	Sesión
	_utmz	Almacena el origen del visitante y el camino que ha seguido para acceder a la web	6 meses
	_ga	Se usa para distinguir a los usuarios.	2 años
	_gat	Se usa para diferenciar entre los diferentes objetos de seguimiento creados en la sesión. La cookie se crea al cargar la librería javascript y no existe una versión previa de la cookie _gat. La cookie se actualiza cada vez que envía los datos a Google Analytics.	10 minutos
Cookies google.com	PREF	El uso de servicios de localización como Google Maps implica la instalación de estas cookies	2 años
	APISID	Se utilizan para recordar preferencias del usuario durante su navegación.	2 años
	SAPISID		2 años
	SSID	También para el recuento, por parte de Google, del número de usuarios que utilizan los mapas	2 años
	NID	Para hacer la publicidad más atractiva	6 meses
	HSID, SID	Y para proveer de mecanismos de seguridad que eviten el acceso no autorizado a datos de acceso de usuarios o la información que éstos facilitan en formularios de contacto.	2 años
Cookies de Facebook	Lu, cuser, csm, fr, s, xs	Sus finalidades están descritas en www.facebook.com/ help/cookies
Account Google	GAPS, LSID, LSOSID, UTMA, UTZ	Herramienta de Google+ a través de botones de acción para permitir al usuario compartir contenido a través de Google+. Estas cookies permiten a Google autenticar si se comparte el sitio con este botón. Más información sobre las cookies de Google en www.google.com/intl/es/ policies/technologies/types (castellano)
APIS GOOGLE		Estas cookies de Google Maps registran el origen del usuario, así como las keywords. También se genera un prefijo único, que es el que se utiliza para hacer recuento de cuantas veces visita el sitio un usuario www.google.com/intl/es/ policies/technologies/types (castellano)

Consultoría especializada en Protección de Datos y Seguridad de la Información

ÁREA CLIENTE EN CONSTRUCCIÓN.

Ciberseguridad

Los ciberataques y el Black Friday

¿Qué entendemos por ciberataque?

¿Cómo protegernos de los ciberataques?

Deja un comentario Cancelar respuesta