La situación de miedo, pánico quizás lo definiría mejor, que se ha creado por la expansión del Covid-19 en España esta siendo aprovechado por los hackers para sustraer los datos de vuestros ordenadores. Los ciberdelincuentes, según explica la Agencia Española de Protección de Datos (AEPD), utilizan la técnica del phishing para introducirse en nuestros ordenadores valiéndose de los servicios de mensajería instantánea y los correos electrónicos. entre otros medios.
El modus operandi es casi siempre el mismo: los hackers suplantan organizaciones legítimas con información relevante sobre el COVID-19, haciéndose pasar por el Ministerio de Sanidad, la Consejería de Sanidad de una Comunidad Autónoma, las Fuerzas del Orden, las Organizaciones Internacionales… La mayoría de veces se ofrecen a prestar ayuda y ofrecer consejos para afrontar la situación creada por el coronavirus; los más arriesgados incluso fingen ser la empresa en la que trabaja la persona objeto del engaño. En la mayoría de los casos piden al usuario que abra un archivo con urgencia o siga un enlace de internet para obtener la información que le ha sido enviada por correo electrónico o por algún servicio de mensajería electrónica.
Cuando se sigue el enlace y se descarga y ejecuta un archivo adjunto, lo que se esta haciendo es instalar algún tipo de malware que permite a los ciberdelincuentes tomar el control de vuestro dispositivo, acceder a vuestra información y datos personales e incluso cifrar esos datos.
Los enlaces de internet incluidos en estos mensajes o correos electrónicos también pueden llevar a páginas web que suplantan la identidad de otras organizaciones, con el objetivo de robar vuestras credenciales de acceso a un servicio u otra información personal, por ejemplo: vuestro número de la seguridad social, los datos bancarios para el pago de un test de coronavirus, etc. Hay ejemplos en las figuras 1, 2 y 3.
Figura 1. Email suplantando a la OMS con un enlace malicioso a medidas de protección.
Figura 2. Siguiendo el enlace del ejemplo de la figura 1 te piden que verifiques tu correo electrónico para para obtener la información.
Figura 3. Ejemplos de intentos de phishing que están sucediendo en España.
Desde la Agencia Española de Protección de Datos se propone seguir las siguientes recomendaciones:
- Mantenerse informado mediante fuentes oficiales y confiables, acudiendo directamente a las webs de las instituciones o medios de comunicación, nunca a través de un enlace proporcionado en un mensaje o en un email.
- Verificad la dirección de correo electrónico remitente del mensaje y también el enlace web al que te remite el mensaje. A veces, resulta obvio que la dirección web no es legítima, pero otras veces los ciberdelincuentes son capaces de crear enlaces que se parecen mucho a las direcciones legítimas.
- Tenen cuidado con las solicitudes de datos personales a través de webs a las que habéis llegado siguiendo un enlace contenido en un mensaje o correo electrónico. Mejor acceder directamente a la web de esa organización.
- Fíjense bien en el contenido del mensaje, sospechen de mensajes con faltas de ortografía, errores gramaticales y saludos genéricos sin aportar ningún dato vuestro.
- Sospechad mucho más si además el contenido del mensaje os urge a realizar cualquier tipo de acción cuanto antes, con una urgencia injustificada.
- Ante una situación de riesgo es más importante que nunca guardar la tranquilidad y reflexionar antes de actuar o tomar decisiones precipitadas.
Si, aun siguiendo estas recomendaciones no habéis podido evitar caer en el engaño, contactad con la Oficina de Seguridad de Internauta dependiente del INCIBE para obtener asesoramiento sobre cómo actuar para minimizar los posibles daños.
Podéis ampliar información sobre estas y otras amenazas en la Guía de Privacidad y Seguridad en Internet de la AEPD.