David Megías, director de l’Internet Interdisciplinary Institute (IN3) i del grup de recerca K-riptography and Information Security for Open Networks (KISON)
Els ciberdelinqüents poden aprofitar la crisi de la COVID-19 per a atacar els nostres dispositius digitals, ja que amb el confinament passem més temps connectats a la xarxa i ens exposem més als seus riscos. Una realitat que comentem amb l’investigador David Megías. Enginyer i doctor en Informàtica, Megías va completar la seva formació al Departament de Ciència de l’Enginyeria de la Universitat d’Oxford. Des de l’any 2001, és professor de la UOC i actualment és el director de l’Internet Interdisciplinary Institute (IN3), centre de recerca de la Universitat, i investigador líder del grup K-riptography and Information Security for Open Networks (KISON). L’equip de KISON és expert a investigar la seguretat i la privadesa de la xarxa i dels continguts, àmbits que desenvolupa en recerques nacionals i internacionals. A més, Megías forma part de la iniciativa Ús Delictiu de l’Ocultació d’Informació (CUIng), que coopera amb el Centre Europeu de Ciberdelinqüència de l’Europol (EC3).
Què és la ciberseguretat?
És com un gran paraigua que aplega totes les qüestions relacionades amb la protecció dels sistemes informàtics, de les comunicacions digitals i de la informació que hi circula.
La societat té prou coneixements per saber com l’afecta?
Tot i que la població general rep informació sobre els riscos i les vulnerabilitats dels sistemes connectats a internet, penso que no té prou consciència sobre les mesures de protecció recomanables. Considero que caldria més formació pràctica per als usuaris domèstics perquè puguin saber com es poden protegir de possibles riscos.
Quins exemples de ciberatacs ens podrien afectar?
Un cas són les campanyes de pesca de credencials (phishing) o d’atacs massius contra un objectiu ampli a fi d’aconseguir informació que permeti obtenir algun tipus de profit, generalment econòmic. Amb les accions malicioses de correus massius, es poden aconseguir diferents tipus d’informacions, com ara adreces electròniques o dades bancàries, que es poden fer servir per a altres campanyes de pesca de credencials o que es poden vendre a bases de dades. Un altre cas és el programari de segrest (ransomware): per exemple, reps un correu electrònic informatiu sobre el coronavirus, l’obres i fas clic en un enllaç o obres un arxiu adjunt, se t’infecta l’ordinador i els ciberdelinqüents et demanen un rescat per recuperar informació que hi podies tenir desada.
Fins a quin punt aquest tipus d’accions malicioses són efectives?
Tots aquests tipus de campanyes funcionen per estadística. Els seus impulsors saben que hi ha un cert percentatge de persones, encara que sigui petit, que hi caurà. I si aconsegueixen que aquestes campanyes arribin a un nombre de persones elevat, maximitzaran l’efecte de l’atac i aconseguiran recaptar més dades o més diners. Per això, arran de la pandèmia, com que tenim més persones connectades i durant més temps, hi ha més possibilitats d’èxit d’aquesta mena d’accions malicioses. Per exemple, tenint en compte que la població està molt pendent de la COVID-19, és probable que si una campanya maliciosa inclou la referència a la malaltia a l’assumpte d’un correu massiu, una quantitat rellevant de persones que el rebin caiguin en la trampa, ja que és una qüestió de primer nivell d’interès social.
Quines mesures podem prendre davant els riscos?
Com a punt de partida, hem de tenir clar que hi ha entitats, com l’Administració pública, que no s’adrecen als usuaris per correu electrònic per demanar-los dades. Si rebem un correu electrònic que té com a emissor un organisme públic demanant-nos dades personals, és probable que no sigui legítim. Hem d’actuar amb seny, pensar quines són les vies habituals que fan servir les organitzacions per posar-se en contacte amb nosaltres i desconfiar de tot el que no sembli una font oficial, encara que es presenti d’aquesta manera. Hem de sospitar de qualsevol correu amb un remitent desconegut i estar segurs que el remitent és qui afirma que és. Entre els indicis, podem revisar si el domini del correu és habitual, com ara .es. De vegades, el remitent pot no semblar estrany, però si es comprova l’adreça electrònica que acompanya el nom, es pot confirmar que es tracta d’un correu fraudulent. Un indici poden ser les adreces que estan formades per una llarga llista de lletres i números.
Els servidors de correu electrònic no haurien de detectar prou bé aquesta mena de correus i enviar-los, per exemple, a l’habitual carpeta de correu brossa?
El correu brossa funciona per estadística. Els filtres antipesca (antiphishing) i anti-correu brossa (antispam) dels servidors de correu funcionen força bé, tot i que no són capaços d’encertar-la sempre. Precisament, els ciberdelinqüents es basen en aquest tipus de qüestions. Si de cada 100.000 usuaris que reben una campanya, en poden enganyar encara que sigui un 1 % evitant aquests filtres, ja disposen d’un miler de víctimes potencials. Si d’aquestes 1.000, 100 l’acaben obrint i deu fan clic a l’enllaç maliciós, hi ha un primer resultat de l’atac. És una dinàmica que funciona amb grans xifres i per estadística.
Les aplicacions mòbils també poden ser una font de perill?
En general, les aplicacions que hi ha als mercats web oficials, com el Google Play o l’Apple Store, han estat revisades i, en principi, no tenen objectius maliciosos. El que poden tenir són finalitats publicitàries legítimes. Però si baixem una aplicació de fora d’un mercat web oficial sí que ens podem exposar a una infecció i córrer algun risc. La recomanació és que quan no n’estiguem segurs, no instal·lem cap aplicació que no sigui d’un mercat web oficial.
El confinament ha incrementat el teletreball: això pot ser un factor de risc per a les empreses?
Les empreses que no fan servir habitualment el teletreball potser no tenen les infraestructures protegides i no estan prou preparades, en termes de ciberseguretat, per evitar atacs. Adaptar-se en pocs dies no és fàcil ni suficient per prendre les mesures necessàries per evitar la vulnerabilitat. Un dels riscos principals que tenen aquestes empreses són les dades: els treballadors hi accedeixen des dels seus domicilis i les tracten sense complir normatives com ara el Reglament general de protecció de dades. Hem de ser molt curosos amb les dades i conservar-les als dispositius de casa de manera temporal. Com a precaució, és millor evitar fer còpies de dades en dispositius de fora de l’empresa.
Quin tipus de dades de les empreses poden ser delicades en cas de ciberatacs?
Un exemple són les dades dels treballadors que gestionen les àrees de recursos humans. Aquestes informacions, desades a ordinadors personals que no estiguin prou protegits, poden ser víctimes de programes maliciosos (malware) que les enviïn a servidors remots. El risc pot ser elevat i hem de ser conscients que a casa no disposem de les mesures de protecció de l’oficina. Pot ser una realitat difícil de preveure per a les organitzacions, però cal tenir-la present i fer recomanacions als treballadors, a fi d’evitar còpies indiscriminades d’informacions sensibles.
Cooperes, juntament amb altres experts, amb el Centre Europeu de Ciberdelinqüència de l’Europol: estem experimentant un creixement preocupant de ciberatacs?
Som conscients que hi ha hagut atacs relacionats amb la crisi actual, que no té precedents, però no considerem que hi hagi una situació de creixement exponencial de la ciberdelinqüència, almenys de moment. Sí que han augmentat alguns tipus d’atacs concrets, especialment la pesca de credencials, i moltes d’aquestes accions fan servir la COVID-19 com a esquer per atraure les víctimes.