La era de los ‘hackeos’ masivos: qué hacer después y cómo defenderse

Si compró entradas en Ticketmaster, si participa en subastas de Christie’s, si tiene una cuenta en el Santander, un contrato con Telefónica, el servicio de Iberdrola o una matrícula de la DGT. Solo son los últimos motivos por los que sentirse vulnerable. Y no paran de crecer: como explica el especialista Jakub Kroustek: “Durante este 2024 se ha alcanzado la mayor ratio de riesgo cibernético de la historia”. Habla de particulares y también de grandes organizaciones, pero ¿qué hacer en ambos casos?

Los agentes de las fuerzas de seguridad siempre afirman que, para investigar un crimen, prefieren un móvil al registro de una casa. En un simple dispositivo hay más datos de la vida de su usuario que cualquier trastero olvidado o los armarios de una vivienda. Están hasta las llaves para entrar en los bancos y en las cuentas tanto profesionales como personales. Ese material es el que interesa a los delincuentes, que conforman un ejército esquivo, invisible e incansable. Pero es posible defenderse, aunque la permanente lucha agota y exige rutinas tediosas.

El investigador de Kaspersky Marc Rivero distingue entre dos ámbitos de defensa: “En el entorno empresarial, hay que elevar el nivel de madurez en seguridad, asociarse con quien te ayude a implementar medidas y disponer de tecnología para cubrir cada uno de los huecos. En los casos de usuarios, en caso de duda, siempre hay que contactar con la entidad si recibimos un correo o llamada que nos pida hacer algo, como pinchar un enlace o aportar claves. Es cuestión de sentido común y tener precaución”.

En este sentido, Luis Hidalgo, del Instituto Nacional de Ciberseguridad (Incibe), identifica un patrón peligroso en todos los niveles: “el clicador feliz” (happy clicker), que pincha de forma compulsiva en cada enlace que le llega. “Estos también están, y mucho, en las capas altas de una organización”, advierte. Todas las empresas de ciberseguridad insisten una y otra vez en una premisa: confianza cero.

De esta forma, una de las armas fundamentales es la formación personal en todos los ámbitos, desde el más particular al directivo de cualquier compañía. Pero los ataques persistirán, por lo que es necesario saber cómo actuar.

En caso de que una compañía de la que somos usuarios sufra un ataque, es crucial cambiar de inmediato las claves de acceso a sus servicios. Además, la Asociación Española de Consumidores aconseja a los clientes de estas empresas “rechazar cualquier tipo de contratación que se ofrezca de forma telefónica o a través de correo electrónico”. “Pedimos a los clientes que estén atentos a sus cuentas por si se produjeran cargos o movimientos de su dinero de manera indebida”, reclaman.

En el ámbito de las compras, es conveniente contar con una tarjeta de prepago que se recargue solo para las transacciones en internet y únicamente por la cantidad requerida en cada momento.

El Incibe cuenta con una guía práctica para los usuarios que se resume en las siguientes acciones: tener una contraseña robusta y distinta para cada uso, cambiarla si se ha visto vulnerada (hay herramientas gratuitas para saberlo como haveibeenpwned.com o en Google), disponer de autenticación múltiple si está disponible (puede incluir datos biométricos) y no clicar en enlaces de correos sospechosos o de ofertas increíbles. Por sistema, hay que evitar páginas no seguras o descargar programas no oficiales, borrar documentos que contengan información que comprometa la seguridad, no utilizar la cuenta de correo habitual para ofertas y promociones y mantener actualizados los sistemas operativos de los aparatos, para que estén corregidas las vulnerabilidades. También recomiendan evitar acceso a wifis gratuitas que no sean de confianza y asegurar los routers domésticos.

Puedes seguir a EL PAÍS Tecnología en Facebook y X o apuntarte aquí para recibir nuestra newsletter semanal.