Recientemente hubo en España una serie de campañas muy agresivas de lo que en ciberseguridad se conoce como Caller ID Spoofing. Esto es, una técnica maliciosa con la que al realizar una llamada se falsifica el número de teléfono que aparece en el aparato de la víctima, para que en vez de que aparezca el real se muestre otro distinto, lo que permite realizar suplantaciones de identidad, generando confianza en el receptor y consiguiendo que sea proclive a realizar determinadas acciones que de otro modo no haría.
Las campañas a las que nos referimos concretamente, consistieron en suplantar números reales de oficinas bancarias para llamar a clientes de las entidades haciéndose pasar por un gestor del banco, quien ante la detección de movimientos sospechosos en las cuentas pedía que se transfiriese el dinero a otra segura habilitada por la entidad.
Se trata de un tipo de ataques que se suelen articular con base a la posesión de algunos datos previos de la víctima, como cuál era su oficina bancaria en este caso, el cual dejó a lo largo y ancho del país un reguero de víctimas con cuentas desvalijadas, lo que recibió una gran atención mediática que contribuyó a crear alarma social, que en el ámbito de la ciberseguridad si sirve para percatarse de los riesgos existentes y darle una respuesta adecuada puede venir hasta bien.
Miedo a ser víctima de un ciberataque
Para el tema que nos ocupa, la creciente concienciación general sobre el problema de la ciberseguridad, lo ocurrido tiene una lectura subyacente muy interesante que no es la más obvia (que haya podido servir para tomar conciencia). Nos referimos al hecho de que la técnica de ingeniería social empleada en los ataques sea el miedo a haber sido víctima de uno, que es lo que detona la necesidad de tomar medidas inmediatas como transferir el dinero a una cuenta segura.
Que los atacantes empleen precisamente el temor a los ataques ya nos está reflejando una creciente conciencia general sobre el problema, por la sencilla razón que las preocupaciones emergentes entran dentro de la categoría de aspectos a explotar por la ingeniería social que se aplica para mejorar las perspectivas de éxito de los ciberataques, aunque ello suponga desplegar contramedidas en forma de salvaguardas falsas, como aparentar llamar desde el número fijo de la oficina bancaria, que de cara a vencer sus reticencias las víctimas pueden comprobar con una simple búsqueda por Google.
De este modo, indirectamente, aunque de manera muy reveladora, tendríamos un claro indicio de que hay una mayor conciencia general sobre el problema de la ciberseguridad, a la que sin duda contribuyen el rosario de informaciones publicadas en los últimos tiempos sobre grandes compañías, administraciones y servicios públicos que han sucumbido a ciberataques.
La experiencia personal en la concienciación sobre ciberseguridad
Aunque el primer generador de conciencia probablemente sea la propia vivencia personal, ante la avalancha de mensajes maliciosos recibidos por todo tipo de canales (email, WhatsApp, SMS) para hacerse con datos personales sensibles, en lo que supone un auténtico bombardeo impulsado por las posibilidades de automatización existentes en la actualidad para estas y otras campañas, sea cual sea su intención, y que al menos, eso sí, tienen como contraparte positiva un aumento en la percepción del riesgo, y por tanto una mayor sensibilización sobre la necesidad de tomar medidas.
Otra señal de la toma en consideración del carácter crítico que tiene la información personal es el revuelo que alcanzan noticias como que cierta red social de referencia haya guardado las contraseñas de sus usuarios sin cifrar durante años, o la adhesión general a campañas para que los datos de las publicaciones social media no puedan ser utilizadas por inteligencias artificiales.
Lo que dicen las contraseñas predominantes sobre los límites de la concienciación
Sin embargo, por mucho que se pueda detectar una tendencia positiva hacia la concienciación sobre ciberseguridad, siguen habiendo aspectos muy desalentadores al respecto, como el tipo de contraseñas que se usan comúnmente.
Una compañía especializada en administración de passwords, Nordpass, realiza cada año un estudio global sobre las contraseñas que más se utilizan. En el publicado en noviembre de 2023 sobre la muestra amplia pero limitada que analizaron pudieron identificar que la clave más empleada fue ‘123456’, usada nada menos que 4 millones de usuarios del repositorio de 4.3 TB de contraseñas que evaluaron, seguida muy de cerca de otros clásicos como ‘admin’ o ‘1234’.
En el caso concreto de España, las contraseñas más utilizadas serían:
1.- admin
2.- 123456
3.- 12345678
4.- 123456789
5.- 12345
6.- password
7.- 1234567890
8.- mallorca64
9.- barcelona
10.- 000000
Esto revela que por mucho que haya brotes verdes a los que agarrarse, todavía queda mucho trabajo por hacer para impulsar la concienciación, en lo que supone una responsabilidad transversal que nos interpela a todos, a las administraciones públicas a la hora de desplegar campañas eficaces, a los medios de comunicación para informar no solo sobre ciberataques espectaculares sino también sobre los riesgos más comunes, y por supuesto también a las empresas especializadas en ciberseguridad en la medida de nuestras modestas capacidades divulgativas.
Además, no se trata únicamente de concienciar a ciudadanos para que tomen medidas efectivas de protección personal, también hay que hacerlo en su dimensión profesional, ya que son el eslabón más débil para aplicar una técnica de ingeniería social (que no haría falta ni desplegar si la brecha es una contraseña tipo ‘admin’), que dé lugar a un ciberataque de ransomware exitoso que secuestre todos datos críticos de una empresa, y que podrá en el peor de los casos abocarla a la extinción, con la subsiguiente desaparición de todos los empleos.
La concienciación de por sí no basta nunca, pero es el primer paso esencial para afrontar cualquier problema, antes de adoptar las medidas necesarias para solucionarlo o al menos gestionarlo, como es el caso de la ciberseguridad, un ámbito donde el riesgo no resulta erradicable, pero se puede manejar, mitigar y reducir al mínimo posible.
