Los ciberdelincuentes adoran las vacaciones de los demás, ya que consideran este período como una oportunidad para aprovechar la distracción y la relajación de las medidas de ciberprotección. Mientras estamos ocupados haciendo reservas de hoteles en línea, disfrutando en restaurantes o compartiendo fotos y comentarios en redes sociales, nuestras prácticas de seguridad pueden verse comprometidas.
Durante nuestras vacaciones, confiamos en que nuestras infraestructuras tecnológicas funcionen sin supervisión. A nivel profesional, configuramos nuestros correos para que respondan de forma automática indicando a los posibles interlocutores que estamos de vacaciones. De igual forma, nuestras redes sociales se convierten en un libro de bitácora de nuestros recorridos y estancias ociosas.
Es por ello que desde All4Sec, empresa de ciberseguridad española, os queremos informar sobre cómo los ciberdelincuentes emplean diversas estrategias y recursos, como el phishing, SMiShing y o los ataques dirigidos.
El phishing, en particular, se vuelve más común durante las vacaciones, ya que los ciberdelincuentes aprovechan la ausencia o dificultades que tienen los propietarios legítimos para verificar la identidad de los interlocutores.
El fraude del CEO, sobre todo cuando este se encuentra ilocalizable por vacaciones y las peticiones son urgentes, por ejemplo, es una práctica común que puede ocasionar pérdidas significativas para las organizaciones. A ello hay que unir la delegación de funciones que en muchas ocasiones se producen durante los periodos vacacionales y que pueden llegar a dar lugar a riesgos para la organización si no se plantean de forma clara y segura.
Otro aspecto a considerar es el uso de dispositivos personales (BYOD) para acceder a recursos corporativos. Si estos dispositivos no están adecuadamente protegidos, representan un riesgo importante más allá de su propio valor económico. La comodidad que nos proporcionan nuestros terminales personales puede suponer un riesgo si con ellos se accede a recursos profesionales (correos, documentos, servicios corporativos…).
Es crucial preguntarnos si nuestros dispositivos personales cuentan con protección antivirus, si no tenemos instaladas aplicaciones no confiables (juegos, descargas ilegales, etc.), si las contraseñas de acceso a la red VPN de la organización se protegen adecuadamente o si se utiliza una autenticación de doble factor.
Asimismo, durante las vacaciones, es fundamental asegurar la protección física de los dispositivos móviles que compartimos con servicios de la organización. ¿Dónde dejamos estos dispositivos mientras estamos en la playa o durante nuestros viajes? ¿Compartimos el dispositivo con otras personas de nuestra familia? Estas son preguntas sencillas que debemos saber responder para reducir los riesgos de seguridad de nuestros dispositivos.
Además, al conectarnos a redes WiFi públicas, debemos tener en cuenta los riesgos que asumimos. Aunque estas redes brindan acceso gratuito a Internet, pueden ser menos seguras y estar expuestas a ataques de «Man-In-The-Middle» que comprometen nuestra privacidad. Es importante ser cauteloso al utilizar redes WiFi públicas y considerar el uso de una red privada virtual (VPN) para cifrar nuestras conexiones y proteger nuestros datos. Llegado el caso, es preferible utilizar los propios servicios de datos de los proveedores de comunicaciones móviles si es que disponemos de ellos.
No podemos olvidarnos tampoco de los dispositivos inteligentes, que desempeñan un papel cada vez más importante en nuestras vidas. Durante las vacaciones, podemos estar tentados de utilizar dispositivos como asistentes virtuales, cámaras de seguridad, termostatos y cerraduras inteligentes conectadas a nuestros dispositivos personales que nos facilitan la estancia en diferentes lugares. Sin embargo, estos dispositivos también presentan riesgos de ciberseguridad, ya que pueden ser objetivos atractivos para los ciberdelincuentes al darles las mismas funcionalidades. Es crucial comprobar que se mantienen actualizados con los últimos parches de seguridad y, llegado el caso, utilizan contraseñas fuertes y únicas. Es preferible no conectarse a dispositivos de terceras partes que nos ofrezcan durante nuestras estancias vacacionales antes que hacerlo sin las debidas precauciones.
Al regresar de nuestras vacaciones, asimismo, es esencial revisar la configuración y los registros de acceso de los dispositivos inteligentes que dispongamos en nuestros domicilios. Los ataques de fuerza bruta a asistentes de voz, Webcams, redes WI-FI habilitadas o equipos conectados a Internet podrían ser la causa de que estos servicios quedaran bloqueados (o peor aún, comprometidos) durante nuestra ausencia.
Llegado el caso, los equipos y servicios activos y accesibles desde Internet podría ser monitorizados por los delincuentes para determinar nuestra presencia o no en nuestros domicilios.
Por último, debemos considerar la seguridad de nuestras propias organizaciones mientras estamos ausentes. Es importante contar con personal cualificado para hacer frente a cualquier eventualidad y tener establecidos los procedimientos adecuados de notificación de incidentes. En el caso de nuestros hogares es igualmente importante hacer un repaso profundo de los dispositivos que dejamos conectados y nuestras medidas de ciberseguridad, anticipando posibles contingencias. Por desgracia los delincuentes no se toman vacaciones y por ello debemos estar preparados para responder a cualquier eventualidad.