La actividad de CSIRT-CV está cofinanciada por la Unión Europea, a través del Programa Operativo Feder de la Comunitat Valenciana 2014-2020
Castellón Información
La Generalitat ha lanzado una serie de recomendaciones con el fin de recordar a las entidades, tanto públicas como privadas, qué acciones pueden llevar a cabo para evitar que fructifiquen los intentos de estada por Internet conocidos como fraude al CEO.
El director general de Tecnologías de la Información y las Comunicaciones, José Manuel García Duarte, ha asegurado que "ante la información conocida estos últimos días sobre el intento de estafa que ha sufrido la Corporació Valenciana de Mitjans de Comunicació, consideramos de vital importancia concienciar a las organizaciones sobre las acciones que deben llevar a cabo para evitar que este tipo de estafas fructifiquen".
"Lo primordial -ha continuado- es concienciar a los empleados y empleadas, así como a los directivos de empresas y cualquier otro tipo de organización del sector público y privado, para que sepan cómo actuar ante cualquier e-mail o contacto sospechoso utilizando medios electrónicos".
García Duarte ha explicado que, en este caso, las buenas prácticas en seguridad de la CVMC (Corporació Valenciana de Mitjans de Comunicació) han permitido una detección temprana y su comunicación al Centro de Seguridad TIC de la Comunitat Valenciana (CSIRT-CV).
Según el CSIRT-CV, los y las atacantes podrían haber obtenido las cuentas de correo suplantadas a través de la plataforma de contratación del Estado.
Por esta razón, García Duarte ha llamado la atención sobre la gran cantidad de datos que se publican en los pliegos de contratación de las organizaciones y ha recordado que es importante "no dar más datos de los necesarios en este tipo de documentación y plataformas, ya que no sabemos quién podría estar leyendo y a quién más le podría interesar para fines ilícitos como la sustracción económica".
El director general asegura que el intento de fraude no ha tenido éxito, pero aprovecha la ocasión para "exhortar a los responsables de las organizaciones a actuar y divulgar las recomendaciones que emite CSIRT-CV entre sus empleados y empleadas".
Recomendaciones ante incidentes facilitados
Desde CSIRT-CV se recuerda que existen varios tipos de ataques, unos con mayor componente tecnológico (troyanos, virus, 'ransomware', ataques de denegación de servicios, etc.) y otros, incidentes facilitados por la tecnología, en los que los ciberdelincuentes se aprovechan del anonimato y el mayor acceso a los usuarios que ofrece Internet para cometer fraudes o estafas tradicionales solo que, ahora, empleando medios tecnológicos como el correo electrónico. Entre estos últimos, se encuentra el fraude al CEO.
Los "fraudes al CEO" consisten en hacer llegar un correo a un empleado que tenga capacidad para hacer transferencias o acceso a datos de cuentas, supuestamente remitido por un superior (ya sea su CEO, presidente o director de la empresa), urgiéndole a realizar una transferencia para alguna operación financiera que suele tildarse de confidencial y urgente.
Las campañas más sofisticadas, suelen venir precedidas de una fase de investigación, en la que el atacante recaba información sobre la estructura orgánica y funcional de la empresa u organismo a atacar, con el fin de dirigirse a la persona adecuada. Esta investigación suele usar fuentes públicas de datos para obtener la información, razón por la cual es fundamental limitar los datos que se publican por cualquier medio.
CSIRT-CV recomienda que, una vez se detecte un tipo de correo electrónico de este tipo, hay que bloquear al remitente en los servidores de correo para evitar recibir futuros e-mails y comprobar que no se han recibido más en cuentas de otros usuarios.
Además, los usuarios deben evitar pulsar en cualquier enlace presente en el e-mail, así como abrir documentos de procedencia incierta y, sobre todo, nunca se debe enviar las credenciales de acceso (usuario y contraseña) mediante correo electrónico a nadie.
Por otra parte, CSIRT-CV recomienda guardar un registro de los e-mails enviados y recibidos, por si se requiriese hacer una investigación posteriormente, y mantener una política de contraseñas robustas entre los empleados y empleadas de la organización.
Desde el Centro de Seguridad TIC de la Comunitat Valenciana, se hace hincapié en la concienciación a los usuarios, ya que el punto crítico en este tipo de fraudes es la operación de cambio de cuenta bancaria, que habitualmente se suele hacer de dos formas: mediante un correo electrónico que indique que un proveedor, por ejemplo, ha cambiado de cuenta bancaria o mediante el envío de una factura con una nueva cuenta.
En esta situación, se recuerda que la mejor defensa es la procedimental: definir una base de datos con las cuentas autorizadas y que, cada vez que se va a realizar un pago, se compare cada cuenta con la información que se tiene en la base de datos, no realizando el pago si no son coincidentes.
Además, hay que prestar mucha atención a las propuestas de cambio de cuenta y, si se necesita realizar una llamada de verificación desde cero, nunca se debe llamar a ningún número que figure en ningún e-mail sino el que tengamos en nuestra base de datos o el que figure en la página web oficial de la entidad a la que supuestamente se intenta suplantar.
También se recomienda establecer una estructura de doble firma para los importes que superen cierta cantidad, ya que siempre resultará más difícil que fructifique un engaño a dos personas que solo a una.
Este procedimiento ha de ser de obligado cumplimiento para todos los miembros de la organización, ya que en muchos casos el objetivo a suplantar es un alto cargo de la organización que podría tener potestad para saltarse las restricciones de seguridad o los procedimientos.
CSIRT-CV es un centro, dependiente de la Dirección General de Tecnologías de la Información y las Comunicaciones (DGTIC), que se ha consolidado como pieza indispensable para la seguridad corporativa de la Generalitat y para la concienciación en ciberseguridad en la sociedad valenciana.
Desde su puesta en marcha, publica información sobre seguridad en su página web (consultar aquí, incluyendo cursos de formación, así como avisos y consejos en sus redes sociales Facebook (http://www.facebook.com/Csirtcv) y Twitter (twitter.com/Csirtcv) y en el portal de concienciación en ciberseguridad Conciencia'T (concienciat.gva.es).
La actividad de CSIRT-CV está cofinanciada por la Unión Europea, a través del Programa Operativo del Fondo Europeo de Desarrollo Regional (Feder) de la Comunitat Valenciana 2014-2020.