Mecanismos de seguridad en las comunicaciones electrónicas
El estafador, conocido como phisher, se vale de técnicas de ingeniería social, haciéndose pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo general un correo electrónico, o algún sistema de mensajería instantánea, redes sociales SMS/MMS, a raíz de un malware o incluso utilizando también llamadas telefónicas.
Evita ser víctima de fraudes de tipo phishing
MUY IMPORTANTE: Ningún banco o administración pública envía por correo electrónico solicitudes de datos personales de sus clientes. Si recibes un correo en este sentido, no facilites nunca ningún dato y contacta inmediatamente con él para preguntar.
PHISHING
La palabra phishing o suplantación de identidad, es utilizada para referirse a uno de los métodos más utilizados por los ciberdelincuentes par estafar y obtener información confidencial de forma fraudulenta como puede ser una clave de acceso o información detallada sobre tarjetas de crédito u otra información bancaria o administrativa de la víctima.
Para evitar en lo posible ser víctimas de fraudes de tipo phishing, sigue nuestras recomendaciones:
No abras correos de usuarios desconocidos o que no hayas solicitado, elimínalos directamente.
No contestes en ningún caso a estos correos.
Precaución al seguir enlaces y descargar ficheros de correos aunque sean de contactos conocidos.
Si no hay certificado, o si no es del lugar al cual entramos, no facilitaremos ningún tipo de información personal: nombre de usuario, claves de acceso, datos bancarios, etc.
NOTA: Para saber si existe certificado, la URL viene con un candado:
Por otro lado, hay que tener en cuenta SIEMPRE los consejos que facilitan todos los bancos o administraciones públicas en su sección de seguridad:
Cierra todas las aplic346pxaciones antes de acceder a la web del banco.
Escribe directamente la URL en el navegador, en lugar de llegar a través de enlaces disponibles desde páginas de terceros o en correos electrónicos.
No accedas al servicio de banca en línea de tu banco desde ordenadores públicos, no fiables o que estén conectados en redes wifi públicas.
MUY IMPORTANTE: ningún banco o administración pública envía por correo electrónico solicitudes de datos personales de sus clientes. Si recibes un correo en este sentido, no facilites nunca ningún dato y contacta inmediatamente con él para preguntar.
Intenta evitar ataques de phishing
Tienes que tener cuidado cuando recibes un mensaje de un lugar que te pide información personal. Si recibes este tipo de mensaje, no tienes que proporcionar la información que te pide sin confirmar que el lugar es legítimo. Si es posible, abre en ventana aparte en lugar de hacer clic en el enlace que aparece en el correo electrónico.
Modifica la clave de acceso de todos aquellos servicios en que uses la misma y recuerda que es muy importante gestionar de forma segura las claves de acceso a los diferentes servicios de Internet para evitar problemas.
RANSOMWARE
Un ransomware, o secuestro de datos, es un tipo de programa dañino que restringe el acceso a determinadas partes o archivos del sistema operativo infectado y pide un rescate a cambio de quitar esta restricción.
Ante los repetidos ataques de ransomware (pérdida de archivos por encriptación) que, están afectando muy negativamente a empresas y administraciones públicas (SEPE, Ayuntamiento de Castellón, Ayuntamiento de Arenys de Mar, UCLM...), tenemos que tomar medidas que, bien los dificultan, bien mitigan sus efectos. Entre las primeros está la precaución de desconfiar por defecto.
Es por eso que NUNCA hay que abrir ningún correo electrónico del que no conozcamos el origen o es inesperado, y por supuesto, menos todavía, abrir ficheros adjuntos que puedan acompañarlos o pulsar ningún enlace que nos sea desconocido (hay que revisar la URL y que ésta apunte realmente a una entidad que podamos reconocer, incluyendo el prefijo https://; desconfiar de las direcciones (URL) que no podáis interpretar como seguras).
Respecto al segundo, si trabajamos con el disco local del equipo de escritorio, hay que tener la precaución de disponer de una copia (lo más frecuentemente posible) de aquellos ficheros en que estamos trabajando en el disco ‘X:’. En el peor de los casos podéis usar el Google Drive o el MS OneDrive corporativo, puesto que estos tienen un mecanismo interno de control de versiones que guarda versiones ‘solo de lectura’, pero son borrables por el usuario (así que no tenemos garantía en caso de tener nuestras credenciales comprometidas). En caso extremo, poder enviarnos a nosotros mismos como adjunto [no un enlace] en un auto correo electrónico).
Para el Personal de Administración y Servicios (PAS) una forma de tener copias no tan aparatosa, es usar el servicio de escritorio remoto, 'remot.uji.es'.
Aunque muchos ya lo habéis usado durante el confinamiento por COVID-19, tenéis más detalles de como usarlo en Conexión a escritorio remoto (Win10), puesto que los datos no están en vuestro equipo local sino en un servidor del que se hace copia. No obstante, no es garantía si los atacantes, como ha pasado en los recientes ataques, ganan acceso a los servidores, así que siempre hay que ser cauto.
Por tanto,
Para evitar en lo posible ser víctimas de fraudes de tipo ransomware, sigue nuestras recomendaciones:
- No abrir ningún correo electrónico sospechoso de origen inesperado.
- Realizar y mantener copias e seguridad periódicas de todos los datos importantes
- Mantener el sistema actualizado con los últimos parches de seguridad
- Mantener una primera línea de defensa a través de algún antimalware, tener el firewall/cortafuegos correctamente configurado
- Disponer de un filtro antispam a nivel del correo electrónico para evitar la infección a través de campañas masivas de correos electrónicos.
- Emplear máquinas virtuales del tipo 'remot.uji.es' para aislar el sistema principal
Evita ser víctima de fraudes de tipo Ransomware
MUY IMPORTANTE: La Universidad Jaume I NUNCA solicitará ningún dato confidencial, ni usuario/clave de acceso, ni ningún tipo de dato de autenticación por correo electrónico o SMS. Recuerda comprobar siempre la URL que aparece en la barra de navegación.
Los SMS o correos electrónicos fraudulentos suelen incluir faltas de ortografía y utilizan expresiones extrañas o poco naturales. SI ves algo así, desconfía.
En el terminal móvil, evita apps fraudulentas, tan solo confía en apps oficiales descargadas de los lugares oficiales.
SMISHING: SMS + phishing
El smishing es el uso de métodos de engaño a través de SMS o mensajes de texto del móvil para conseguir información personal del usuario y hacer un uso fraudulento de ella. La diferencia con el phishing es el medio por el cual se hace la estafa; en el phishing es principalmente a través de correo electrónico y en el smishing se hace con SMS. No es un fenómeno nuevo, porque apareció por primera vez en 2008, pero ahora se ha incrementado gracias al uso de aplicaciones de mensajería como Whatsapp.
¿Cuáles son las formas más habituales del smishing?
Generalmente, el objetivo de estos mensajes es obtener información confidencial, como claves o datos bancarios, pero a veces también para vender productos inexistentes o “infectar” el móvil. Para conseguirlo, envían un SMS al usuario con una promoción irresistible, la posibilidad de conseguir un premio o, simplemente, un aviso de una empresa de mensajería o de una entidad bancaria.
Si se pincha en el mensaje, el usuario es dirigido en una página web FRAUDULENTA que, bien imita al original para robar sus datos bancarios o sus claves de acceso, bien contiene código malicioso para instalar algún malware, o bien engaña el usuario porque se instale una aplicación que recopilará y enviará información confidencial a terceros.
También es habitual el envío de mensajes que piden que se telefonee a un número de tarificación especial o subscribirse a un servicio SMS premium que supone un gasto adicional suficientemente importante.
¿Cómo puedes evitar el fraude?
El Banco de España mujer una serie de recomendaciones para evitar caer en el fraude del smishing.
Desconfía de los mensajes de remitentes desconocidos
También de aquellos con faltas de ortografía, en inglés o que parecen una mala traducción del inglés, así como de las promociones o mensajes de empresas o servicios que no has utilizado con anterioridad.
Nunca facilitas la información que pide el mensaje
Especialmente cuando se trata de datos personales o bancarias.
No pinchas en los enlaces
Ni descargas archivos adjuntos.
Bloquea los mensajes de texto que consideras spam
Así no volverás a recibirlos más.
Verifica el remitente
Muchas veces suplantan la identidad de un contacto o empresa conocida. Si tienes dudas del mensaje, hiciera una busca rápida en internet con su contenido para descubrir si es una estafa o escribe a tu contacto por otro canal (un correo, otra app de mensajería…) o grítale para confirmar que el mensaje es suyo.
Evita guardar sin cifrar claves o información bancaria en el teléfono
Como en un contacto o en la aplicación de notas.
Personaliza las opciones de seguridad, con contraseñas seguras y sistemas de doble verificación o factor.
Tanto del móvil como de la banca electrónica.
Recuerda que el banco nunca te pedirá por SMS que facilites tus claves de acceso al completo
Ni tampoco los datos completos de tu tarjeta.
¿Qué puedes hacer si eras víctima de smishing?
Si a pesar de tomar todas las precauciones crees que has podido ser víctima de un mensaje fraudulento, el primero que tienes que hacer es ponerte en contacto con la entidad financiera porque bloqueo la operación.
En segundo lugar, tienes que modificar la clave de acceso a la banca electrónica y cualquier otra información que hayas facilitado. Y, sobre todo, tienes que denunciar el fraude a la Policía Nacional, la Guardia Civil o en los juzgados, aportando las pruebas pertinentes.
Y recuerda, si recibes un mensaje como “Felicidades, has sido premiado con un coche. Para obtener el premio envía un SMS a este número” o “Estimado cliente, su tarjeta visa ha sido bloqueada por su seguridad. Para desbloquearla visito esta web y completo los pasos”, ¡desconfía!
Si tienes cualquier sospecha de haber sido víctima de un ataque de este tipo (phising, ransomware o smishing) no dudas al ponerte en contacto con el Centro de Atención al Usuario (CAU) 964 38 7400 <cau@uji.es> para notificarlo.