-
La crisi del coronavirus augmenta la ciberdelinqüència, segons la UOC
Freepik
Els ciberdelinqüents poden aprofitar la crisi del coronavirus per atacar els nostres ordinadors, tauletes o telèfons mòbils i robar-nos dades sensibles o personals. És temps de confinament necessari i obligatori que ens facilita passar més temps connectats a la xarxa i ens exposa més del que és habitual als seus riscos. David Megías i Helena Rifà, investigadors experts en ciberseguretat de la Universitat Oberta de Catalunya (UOC), faciliten consells pràctics per evitar ser víctimes d'activitats malicioses la xarxa.
1. Cal informar-se sobre mesures de protecció que es poden prendre segons cada cas. Segons David Megías, i tot i que la població rep "informació sobre els riscos i les vulnerabilitats de connectar-se a internet, no té prou coneixements sobre ciberseguretat". Cal tenir en compte que no és similar el grau de risc de fer un ús lúdic d'un telèfon mòbil al de treballar amb dades sensibles d'una empresa en un ordinador de casa, especialment si arran de la crisi hem de teletreballar de manera intensiva. Igualment, el confinament és una oportunitat òptima per aprendre bones pràctiques per a navegar de manera més segura.
Com que una de les millors maneres d'evitar riscos és obtenir informació de qualitat, a banda de poder resoldre els dubtes que ens sorgeixen a partir dels coneixements de persones expertes del nostre entorn, podem aprofitar aquesta època per a consultar portals d'organismes oficials que faciliten informació detallada en matèria de ciberseguretat.
2. Hem de tenir contrasenyes segures. "Hem de tenir contrasenyes segures, no solament per a accedir als nostres correus o a aplicacions sensibles com les bancàries, sinó també per a quan les claus s'estableixen per defecte, per exemple, en les connexions wifi, passwords que hem d'evitar mantenir", puntualitza Rifà. Segons la professora i investigadora de la UOC, tot i que els consells són els habituals, hem de tenir en compte que en la situació actual podem ser més vulnerables i hem de minimitzar els riscos.
3. Convé familiaritzar-se amb algunes de les pràctiques malicioses ('malware') més comunes. És el cas del 'phishing' o pesca, que és la suplantació de la identitat legítima d'organismes o empreses per a enganyar els usuaris i demanar-los dades sensibles, com ara les de caràcter personal. L'objectiu dels seus impulsors pot ser des de "vendre bases de dades amb adreces de correu electrònic fins a aconseguir dades bancàries i tot, si són capaços que els usuaris les revelin", apunta Megías. Una altra pràctica perillosa comuna és l'anomenat 'ransomware' o programari de segrest: els usuaris reben un missatge maliciós i per simplement fer clic en un enllaç obren la porta a la baixada d'un programa que inutilitza l'ordinador, cosa que impedeix als propietaris accedir a la seva informació. L'objectiu dels seus responsables és demanar un rescat econòmic per a solucionar-ho.
4. Els organismes oficials no demanen dades als usuaris per correu electrònic. A més que el correu electrònic només és un canal comú per a campanyes publicitàries massives, "no és la via per la qual ens sol·liciten les nostres dades personals". "Les entitats mai no ens demanaran dades per mitjà d'un missatge electrònic amb un senzill respongueu aquí, ja que la informació sensible no s'envia mai d'aquesta manera", reforça Helena Rifà.
5. Hem de sospitar dels emails amb remitents no coneguts. "A més, no hem de confiar en els missatges que tinguin un remitent del qual no tenim la seguretat que és qui afirma ser", afegeix Megías. Segons l'investigador, una de les millors maneres d'assegurar-se'n és revisar si els dominis de les adreces de correu són els habituals, com ara .es en el cas d'un organisme de l'estat, en lloc de .com o .org. "Fins i tot hi ha adreces malicioses que tenen uns codis numèrics llargs en els seus usuaris. A vegades, si revisem els noms que acompanyen els emails sospitosos no ens semblen perillosos fins que comprovem com és l'adreça real que ens contacta, amb un format alfanumèric molt estrany", puntualitza l'expert.
6. Cal ser conscients que, tot i que els filtres 'antiSPAM' o 'antiphishing' dels nostres servidors de correu funcionen prou bé, a vegades poden fallar i no detectar algun missatge maliciós. "Si de cada 100.000 usuaris que reben un missatge maliciós, només un 1% cau en la trampa, ja tenim 1.000 usuaris afectats. Hem de ser conscients que aquest tipus d'atacs s'organitzen pensant en un nombre d'usuaris elevat", apunta Megías.
7. Les aplicacions dels 'markets' oficials, com Google Play o Apple Store, han estat revisades i en principi són segures. En canvi, "si ens baixem una aplicació fora d'un market oficial, ens exposem a un atac maliciós per al nostre mòbil o tauleta. Si no n'estem segurs, no hauríem d'instal·lar cap aplicació que no sigui d'un aparador oficial", confirma Megías. "A vegades, la mateixa curiositat amb què naveguem per internet ens fa trobar continguts o webs amb dades interessants, com ara sobre l'evolució del coronavirus en temps real. Ens indiquen a continuació que hi ha una aplicació que podem baixar per a obtenir-ne més informació, la qual ingènuament baixem, instal·lem i amb la qual donem permisos addicionals a accions malicioses que poden afectar de manera greu els nostres dispositius", exemplifica Helena Rifà.
8. Si teletreballem, hem de tractar amb cura les dades sensibles de les nostres empreses. Els investigadors de la UOC fan èmfasi en les organitzacions que no acostumen a treballar de manera remota i que en pocs dies no han tingut prou marge per a implantar un pla de desenvolupament de l'e-treball entre el seu equip, perquè tingui en compte com es poden reduir al mínim possibles riscos com els ciberatacs. "Els atacants aprofiten la falta de previsió del teletreball per a introduir més malware a la xarxa", opina Rifà.
9. En treballar des de casa, hem d'evitar fer còpies innecessàries de dades sensibles. Segons els experts de la UOC, hem de ser molt curosos amb les dades de l'activitat professional i desar-les de manera temporal i excepcional als dispositius del nostre domicili. Així, hem d'evitar fer còpies de dades en dispositius que són fora de la xarxa de la nostra organització o empresa, perquè no disposem de les mesures de seguretat i els protocols que exigeixen les normatives que en regulen l'ús, com els requeriments del Reglament general de protecció de dades. Els investigadors posen d'exemple sensible les dades personals i bancàries amb les quals treballen els departaments de recursos humans de les empreses.
10. Difonent 'fake news' posem en perill la nostra ciberseguretat i de la resta d'usuaris. Amplificar el soroll amb contingut no veraç no solament perjudica la societat amb desinformació, sinó que també pot propagar accions malicioses que continguin aquestes informacions. "Abans de difondre segons quins continguts sensibles hem d'estar alerta, consultar fonts fiables i no amplificar el que no estigui contrastat", opina David Megías.
