Desde que se decretó el estado de alarma, no hay día en que los altos mandos de la Policía y Guardia Civil no hayan dejado de alertar sobre algún tipo de ciberdelincuencia. Los delincuentes no entienden de crisis sanitarias ni de ética alguna y ven en el miedo un negocio lucrativo, por lo que llevan semanas aprovechando el interés creciente por el coronavirus para infectar dispositivos y robar datos. Todo pasará pero las palabras quedarán, y una que se ha repetido diariamente ha sido ‘phishing’, que viene a significar suplantación de identidad.

«Los delincuentes se ganan la confianza del usuario para que pulse sobre un enlace o abra un fichero malicioso. A partir de ahí, los delincuentes pueden realizar varias acciones como robar las credenciales de acceso a varios servicios online como la banca o infectar nuestro dispositivo con alguna amenaza con la que puedan sacar un rendimiento económico directo o mediante el robo de información», explica Josep Albors, responsable de investigación y concienciación en España de la compañía de ciberseguridad Eset.

Las estafas a través de este método sigue estando en el ‘top’ del ránking de los ciberdelincuentes. Según el Centro Criptológico Nacional, que se encarga de la seguridad de los organismos públicos, han crecido durante el período de confinamiento un 75% respecto al mes anterior. El CCN, adscrito al Centro Nacional de Inteligencia, ha contabilizado más 80.000 dominios en Internet que contienen los términos: ‘coronavirus’, ‘corona- virus’, ‘covid19’ y ‘covid-19’. De ellos, 57.000 se han creado en marzo y un alto porcentaje con fines maliciosos. Los cibercriminales utilizan estas palabras en sus mensajes para atraer nuestra atención.

El equipo de expertos de Entelgy Innotec Security, recuerda que es de vital importancia desconfiar de correos así como de las tradicionales cadenas de WhatsApp en las que se anuncien vacunas, información que aluda a milagrosas curas, bonos de regalos alimentarios, ofertas en plataformas de streaming, o novedades del coronavirus desde un punto de vista emocional como puede ser la petición de fondos para Cáritas o para la OMS para ayudar en la crisis sanitaria. «Esa información jamás llegará por email. Además es muy importante no abrir adjuntos ni acceder nunca a enlaces si estos parecen sospechosos«. Debemos evitar dar información personal o de pago aunque haya sido requerida por correo electrónico, por muy oficial que parezca». Los ciberdelincuentes son conscientes de que la población está muy preocupada y que van a acceder a todo este tipo de información, incluso sin confirmar la fuente», afirma Félix Muñoz, Director de Entelgy Innotec Security.

Los expertos coinciden en que para evitar un ataque informático lo más importante es prevenir. «El primer paso es comprobar si se trata de un remitente desconocido, pero no pinchar bajo ningún concepto en los enlaces ni descargar ningún archivo y comprobar el texto se encuentran también entre las principales medidas de seguridad. Otra de las prácticas es la de contar con una herramienta de ciberseguridad que nos sirva de protección frente a archivos infectados, acceso a páginas web maliciosas, etc.», explica el director técnico de Check Point España, Eusebio Nieva.

A veces, incluso, utilizan presuntas noticias relacionadas con famosos y con frases llamativas a modo de reclamo. El Instituto Nacional de Ciberseguridad alertó de su modus operandi: compran espacios publicitarios en páginas web legítimas y populares para captar la atención del usuario y que este haga clic sobre el anuncio. Las páginas web a las que estos avisos enlazan suelen tener un aspecto similar al de los medios de comunicación habituales e incluir supuestas entrevistas o noticias de famosos que realmente son falsas. Lo hacen para darle más credibilidad a la estafa y que el usuario caiga en la trampa.

Los expertos apuntan a la «concienciación» como clave, así como contar con «nociones básicas en conceptos de ciberseguridad». «La formación continuada puede reducir, aunque no eliminar, ese comportamiento de riesgo», sostiene Rodrigo Chávez-Rivas, director de seguridad de Unisys en España.

Este tipo de ataques están dirigidos a todo tipo de dispositivos. No importa si utilizamos dispositivos móviles o equipos de escritorio. Tampoco importará el tipo de sistema operativo que usemos, ya que todos pueden verse afectados.