Cómo evitar el robo de datos (phishing, smishing, uso de wifi pública...) y qué hacer en caso de que se produzca
Resulta indudable que la información es uno de los activos más valorados por los ciberdelincuentes y que todos podemos ser víctimas de un robo de datos. La transformación digital ha propiciado que los ataques, que pueden afectar tanto a particulares como a empresas, sean cada vez más numerosos y sofisticados. A continuación se indican algunas de las medidas que recomendamos desde el equipo de ciberseguridad de BBVA para evitar un robo de datos o para minimizar su impacto en caso de que se produzca.
Los ciberdelincuentes pueden acceder a nuestros datos de múltiples formas. Una de las vías más comunes son los ataques de ingeniería social, entre los que podríamos destacar los ataques de ‘phishing’ y de ‘smishing’.
Los ataques de ‘phishing’ consisten en el envío de correos electrónicos fraudulentos que dirigen a la víctima a páginas web falsas donde se solicita información personal o bancaria o bien que redirigen a links o incluyen archivos adjuntos que permiten la instalación de software malicioso en los dispositivos de la víctima (PCs, portátiles, smartphones,…). Los ataques de ‘smishing’, por otra parte, son ataques de ingeniería social que se realizan a través de mensajes SMS. En estos casos se suplanta la identidad de las empresas a través de mensajes de texto, con el mismo objetivo que los ataques de ‘phishing’.
Además de los ataques de ‘phishing’ o ‘smishing’ existen otro tipo de situaciones en las que, sin ser conscientes, estamos regalando nuestros datos a los ciberdelincuentes. Podemos encontrar un claro ejemplo de ello en las redes sociales.
Cuando utilizamos redes sociales, debemos ser conscientes de que todo lo que se publica en ellas permanece. Por eso es importante ser muy cautos con la información que publicamos: tanto con lo que escribimos como con lo que decimos en audios y vídeos y con lo que mostramos en nuestras fotografías.
Personas que han publicado fotos con entradas de cine, de conciertos u otra clase de eventos, por ejemplo, se han llevado la desagradable sorpresa de que alguien había copiado los datos y había clonado sus entradas, dejando a la víctima a las puertas del evento. Así que antes de pensar en comprobar si nos han robado los datos, hemos de ser conscientes de que no tenemos que regalarlos. Debemos aplicar el sentido común y no compartir nunca:
- Fotos de nuestros documentos de identidad o de nuestras tarjetas de crédito.
- Nuestra dirección, ya sea física o de correo electrónico, o nuestra ubicación en un momento concreto (por ejemplo, publicando fotografías cuando nos vamos de vacaciones), que pueden mostrar que no nos encontramos en nuestro domicilio.
- Imágenes de documentos oficiales, como notificaciones, citaciones o recibos.
- Fotografías en las que se puedan ver notas con contraseñas, números de teléfono, direcciones o notas adhesivas con recordatorios.
- Nuestro número de teléfono.
- La matrícula de nuestro vehículo o una foto donde aparezca.
- Fotos o datos de personas menores de edad.
Todos estos datos que facilitamos de forma proactiva pueden ser empleados por los ciberdelincuentes para realizar una investigación exhaustiva y acceder a mucha más información sobre nosotros, potenciales víctimas, permitiéndoles personalizar sus ciberataques, suplantar nuestra identidad o bien vender nuestra información al mejor postor.
Debemos ser también muy cautelosos con la información que intercambiamos a través de redes WIFI públicas, evitando realizar pagos o introducir credenciales de acceso a servicios web o entornos profesionales. En la mayoría de las ocasiones estas redes son inseguras y pueden propiciar el acceso no autorizado a la información.
¿Para qué se utilizan los datos robados?
La información a la que los ciberdelincuentes acceden mediante este tipo de ataques puede ser empleada para diferentes fines, como los que se indican a continuación:
- Venta de la información a terceros.
- Suplantación de identidad, con objeto de obtener un beneficio, normalmente económico (como en el caso de la comisión de fraude).
- Realización de ataques de ingeniería social, incluso personalizados, utilizando datos robados.
- Creación de perfiles falsos en internet o redes sociales para realizar actos ilícitos (estafa, acoso, robo de datos, espionaje,…).
¿Qué precauciones debemos adoptar para evitar un robo de datos?
Para evitar este tipo de ataques es fundamental que adoptemos una serie de medidas preventivas, tanto para proteger nuestros dispositivos como para evitar accesos no autorizados a nuestra información. Entre ellas, podríamos destacar las siguientes:
- Garantizar que el sistema operativo de nuestros dispositivos y las aplicaciones que utilizamos se encuentran debidamente actualizados, con todos los parches de seguridad disponibles instalados.
- Utilizar siempre un software antivirus y mantenerlo actualizado.
- Comprobar la configuración de nuestros dispositivos y aplicaciones, seleccionando siempre las máximas medidas de seguridad disponibles.
- Configurar de forma adecuada los ajustes de seguridad y privacidad de las aplicaciones y servicios que utilicemos.
- Revisar el navegador y la dirección URL de las páginas que visitamos, comprobando que empiecen por ‘https’ y que muestran el icono de un candado.
- Desconfiar siempre de correos electrónicos inesperados o de remitentes no habituales, así como de solicitudes de información urgentes.
- No usar redes WIFI públicas para realizar compras por Internet, tratar datos personales o descargar aplicaciones.
Tratar de revelar la mínima información posible en redes sociales.
¿Cómo puedo saber si han robado mis datos?
Es importante comprobar de manera activa, de forma periódica, si nuestros datos han podido ser robados. Existen páginas en las que se puede realizar esta comprobación, como la página web ‘Have I been pwned?’ En esta página, con solo introducir nuestro correo electrónico o número de teléfono, podemos saber si nuestros datos aparecen en alguna de las grandes filtraciones que circulan por los entornos criminales. Y lo que es más importante: también podemos saber, exactamente, qué datos han sido robados.
Esto nos permitirá delimitar la gravedad y el alcance de la filtración y, en base a ello, las acciones que debemos adoptar para minimizar su impacto. No es lo mismo que se filtre nuestro correo electrónico, hecho que supondría un incómodo aumento del correo no deseado o de los intentos de ‘phishing’, a que se filtren contraseñas o datos de nuestras tarjetas de crédito, en cuyo caso deberíamos cambiar las contraseñas o bloquear las tarjetas de forma inmediata.