Ara per ara, és bàsic que les entitats estiguin alerta a les tendències de ciberseguretat, ja que aquestes no fan més que evolucionar.
Les entitats socials cada vegada estan més digitalitzades i han d'estar atentes a les novetats en qüestions de ciberseguretat per tal de protegir la nostra informació que sovint conté dades personals sensibles.
L'Agència Catalana de Ciberseguretat va publicar, ja el 2021, un informe en què assenyalava la fuita de dades massives, l'atac a infraestructures crítiques de serveis essencials com ara hospitals i l'explotació de pagaments de rescats per part de les ciberasseguradores com a principals amenaces en l'entorn digital.
Per ajudar a entendre millor aquest entorn, des de Xarxanet, hem elaborat un glossari amb els conceptes clau que tota entitat hauria de conèixer.
Vulnerabilitat
La vulnerabilitat, en termes informàtics, és defineix com la 'feblesa d'un sistema informàtic davant l'amenaça a la qual s'exposa'.
En els darrers anys, han augmentat les vulnerabilitats en connexions VPN (xarxes privades virtuals), RDP (protocol que permet la comunicació entre un terminal i un servidor a l'hora d'executar una aplicació), els servidors de correu electrònic i les plataformes de compartició de fitxers, que són els sistemes que s'han fet servir més amb el teletreball.
Per corregir un error d'un programa, actualitzar-lo o afegir funcionalitats, es fa servir un pedaç, que conté les modificacions.
'Dark web'
La 'dark web' o web fosca és una part profunda d'internet formada per xarxes xifrades i superposades on s'utilitza l'anonimat per a l'intercanvi
d'informació i dades personals.
Les fuites de dades compartides a la 'dark web' han crescut un 400% en els darrers quatre anys i superen qualsevol registre previ.
'Scrapping'
Es tracta d'una tècnica mitjançant la qual, a través d'un programa, extreuen informació de pàgines web i de les xarxes socials de forma automatitzada. Sovint aquestes dades es fan servir per fer estudis de màrqueting o controlar la visibilitat d'una marca.
És una de les causes principals de fuites massives de dades. Un cas sonat va ser la fuita de dades de 500 milions d’usuaris de LinkedIn.
Aquesta venda de dades fa que les persones posseïdores puguin fer atacs com el robatori de credencials o de contrasenyes.
Atacs
Existeixen diferents tipus d'atacs que poden posar en entredit la ciberseguretat de la nostra entitat. Alguns són:
- El 'credential stuffing' és un tipus d'atac que es fa mitjançant la inserció automatitzada d'una gran quantitat de dades credencials obtingudes d'una manera fraudulenta.
- En canvi, el 'password spraying' es fa intentant entrar als comptes d'usuari d'una organització provant una mateixa contrasenya cada vegada amb un compte diferent per tal que no es bloquegi l'accés i la persona administradora no se n'assabenti.
- Finalment, el 'phishing' consisteix a simular una identitat falsa, sovint suplantant la identitat d'una persona o organització, i a incitar persones a que donin dades personals amb alguna motivació enganyosa a través d'un correu electrònic, telèfon o d'altres mitjans.
Triple extorsió
El 'ransomware' és un programari maliciós que restringeix totalment o parcialment l'accés als fitxers d'un dispositiu fins que no es paga un rescat.
Fins fa poc, eren habituals aquests tipus d'atacs que funcionen a partir del xifrat dels sistemes d'informació de la víctima. Ara, però, han evolucionat a la doble, i a la triple extorsió: la primera consisteix en el robatori de dades i l'amenaça de filtrar-les, mentre que la segona combina aquestes dues pràctiques amb un atac de DDoS en el qual s’exigeix un pagament a canvi d’aturar-lo.
Atacs de DDos i 'botnets'
Un atac de DDos consisteix en l'enviament d'una gran quantitat de peticions falses simultànies a través de grups de persones usuàries o d'ordinadors 'zombi', és a dir, aquells infectats per un 'malware', un programari concebut per prendre el control d'un sistema informàtic.
Aquestes peticions, que arriben de diferents zones geogràfiques, tenen un impacte greu i perllongat en el temps que permet demanar un rescat. Aquests atacs s'estan tornant més complexos i intel·ligents, tot i que menys habituals.
Per fer-los cada vegada s'utilitzen més els 'botnets', xarxes d'ordinadors 'zombis' controlats des d'un mateix servidor i que actuen conjuntament.
'Phishing'
El 'phishing' és una tàctica empleada amb l'objectiu d'obtenir informació confidencial, com ara noms d'usuari, contrasenyes, detalls de targetes de crèdit o informació personal.
Aquest tipus d'atac es caracteritza per la suplantació d'identitat, ja que les atacants es fan passar per entitats de confiança i conegudes, per a guanyar-se la confiança de les víctimes.
La principal estratègia del 'phishing' consisteix a enviar correus electrònics, missatges de text o, fins i tot, missatges a través de xarxes socials que simulen ser legítims i urgents, instant a les destinatàries a realitzar accions específiques, com ara fer clic a enllaços maliciosos o proporcionar informació sensible.
Els correus electrònics de 'phishing' sovint contenen enllaços que redirigeixen a les víctimes a llocs web falsos amb un disseny molt versemblant que imita l'aparença de les plataformes originals. Una vegada en aquests llocs, se'ls demana que proporcionin informació confidencial.
Enginyeria social
Més enllà de la tecnologia, molts atacs es basen en manipular les persones. L’enginyeria social és l’art de convèncer algú perquè reveli informació o faci accions que comprometen la seguretat de l’entitat.
Alguns exemples habituals són:
- Trucades telefòniques fraudulentes fent-se passar per serveis tècnics.
- Missatges de WhatsApp o SMS amb enllaços que semblen oficials.
- Atacs de 'CEO fraud', on els delinqüents suplanten directius per demanar transferències urgents.
- Converses a xarxes socials que busquen guanyar confiança i obtenir dades personals.
És important recordar que, al final, la millor defensa és la formació i la desconfiança sana: verificar sempre abans de compartir informació o fer una acció sensible.
