La posibilidad de realizar todo tipo de trámites y transacciones on-line, suponen enormes ventajas para las empresas, las organizaciones y los usuarios, pero también se debe tener en cuenta los posibles riesgos.
La aplicación de las tecnologías de la información a todos los ámbitos de la sociedad ha traído consigo importantes avances y beneficios, entre ellos, la posibilidad de realizar todo tipo de trámites y transacciones on-line sin necesidad de desplazamientos, desde cualquier lugar y en cualquier momento.
Actividades cotidianas como realizar una transferencia, comprar un bien de consumo o entregar documentación en la Agencia Tributaria como parte de la actividad como empresa o ciudadano, se han convertido en tareas que es posible realizar desde un ordenador y a cualquier hora del día.
Las ventajas son tales que la realización de todo tipo de tramites o transacciones a través de medios telemáticos se ha convertido en una prioridad para las administraciones públicas y las empresas, por la gran reducción de costes, recursos y tiempo que supone respecto de otros procedimientos tradicionales, que por otro lado, generan muchos inconvenientes a quienes por una u otra razón realizan trámites o transacciones de forma presencial: colas, personal no disponible, horario poco flexible, etc.
A pesar de los importantes beneficios que supone la tramitación on-line, su uso, también implica riesgos, en especial, cuando se trata de transacciones de carácter comercial o económico, pero en general, cualquier tipo de transacción y tramitación on-line, está sujeta riesgos y amenazas que es necesario tener en cuenta, con el objetivo de realizarlas con las garantías de seguridad adecuadas.
Desde el punto de vista de la seguridad para los trámites y las transacciones on-line, hay que considerar dos aspectos muy importantes:
Acceso a servicios sensibles. Por un lado, para realizar una compra a través de Internet o un trámite con la administración se necesita acceder a servicios que pueden ser considerados “sensibles” precisamente por el tipo de tipo de acciones que se pueden realizar con ellos, como una compra, abrir una cuenta bancaria o solicitar nuestro borrador de la declaración.
Transferencia de información sensible. Por otro lado, los trámites y las transacciones suponen por lo general algún tipo de intercambio de información. Información que por otro lado, también puede ser sensible, como son datos personales, datos financieros o bancarios, o simplemente, datos que nos dan acceso a estos servicios como puede ser un usuario y una contraseña.
Si un atacante consigue acceso a este tipo de servicios, podría obtener información sensible, además de realizar otras acciones que podrían tener graves consecuencias. Solo hay que imaginar qué ocurriría si un ciberdelincuente consigue acceder a un servicio de banca on-line o consigue los datos de una tarjeta de crédito.
Los ciberdelincuentes actuales son totalmente conscientes del enorme crecimiento que han experimentado los trámites o las transacciones comerciales en Internet, y esta es precisamente una de las razones detrás del enorme crecimiento que ha experimentado la industria del cibercrimen, puesto que el número de usuarios (posibles víctimas) no ha dejado de aumentar. Por otro lado se encuentra el número de transacciones comerciales a través de Internet, que es cada vez mayor, por lo que el beneficio económico es con diferencia, la principal motivación de los ciberdelincuentes.
Para lograr sus objetivos, los ciberdelincuentes utilizan distintas artimañas y técnicas, todas ellas con un denominador común, el engaño y la ingeniería social. Estas se podrían agrupar en tres tipos, según la técnica empleada, aunque en realidad están todas relacionadas:
Información falsa. La primera herramienta de la que suelen valerse los ciberdelincuentes es del engaño, aprovechándose de la ingenuidad de los usuarios o de sus pocos conocimientos. Todos los días circulan millones de correos electrónicos falsos, generados por redes de ordenadores zombie (botnets) que ofrecen estupendos trabajos o informan de una herencia que está esperando. En esta categoría se encuentra el correo no deseado (spam), técnicas como el phishing, que utilizan el correo electrónico para redirigir al usuario a sitios falsos, mensajes falsos que llegan a través del chat o los servicios de mensajería instantánea, etc. La lista es interminable, y en realidad, cualquier medio, vía o mecanismo por el cual pueda enviar o recibir información a través de Internet, es un punto de entrada potencial de información falsa y por tanto de amenazas.
Sitios web fraudulentos o no confiables. Además de la información falsa, los sitios web falsos, fraudulentos o no confiables se han convertido en otra de las amenazas más importantes. Por un lado, están sitios que son una copia o una imitación de los auténticos, los cuales son utilizados como parte del phishing, por otro, sitios web que aparentemente son totalmente fiables pero que han sido comprometidos, de forma que el sitio es usado para propagar código malicioso entre los usuarios que lo visitan a diario, entre otras acciones. Finalmente, existen sitios que ofrecen información que puede resultar útil junto con otro tipo de contenido que suele ser fraudulento, falso o que está diseñado para engañar al usuario. Son sitios no confiables.
Código malicioso. El código malicioso (también conocido como Malware) es una herramienta fundamental para los ciberdelincuentes puesto que les permite realizar muchos tipos de tareas distintas, como robar información, obtener acceso no autorizado a un ordenador, crear una red de ordenadores zombie, lanzar un ataque coordinado, convertir un ordenador en un sistema capaz de enviar cientos de miles de correos de spam, o mostrar publicidad engañosa al usuario, entre otras. En los últimos años, los troyanos bancarios o relacionados con el fraude han aumentado de forma importante, en especial en las plataformas de dispositivos móviles.
Afortunadamente, existen soluciones y medidas que podemos tomar para luchar contra todas estas amenazas, en este sentido, la industria de seguridad ofrece un número muy amplio de soluciones. Además, INTECO-CERT, recuerda que la primera barrera de defensa contra amenazas que se apoyan en el engaño y en la ingeniería social, es el sentido común.