Category: Butlletins

Com cada mes, tornem amb un nou butlletí, en el qual coneixerem més detalladament què són les VPN, els seus riscos i algunes recomanacions per a usar-les de manera segura.

A conseqüència de la pandèmia de la COVID-19 i la implantació de les activitats en remot, l’ús de les VPN ha crescut de manera exponencial en aquests últims anys i s’ha convertit en una de les solucions més aprofitades. A més, el seu ús no sols es limita a l’entorn laboral, també s’ha estat emprant en altres entorns com els educatius, mèdics, etc.

Si bé és cert que el seu ús ja estava normalitzat en l’entorn empresarial, durant aquests últims anys ha pres una major importància, ja que és un dels components amb major rellevància per a la implantació del teletreball. No obstant això, l’expansió de les VPN i la dependència en els entorns empresarials cap a aquesta tecnologia ha suposat que les empreses centren nous esforços en la protecció de l’accés remot, per l’augment de ciberatacs a aquesta. Concretament, i segons recull ComputerWorld, des del canvi al treball remot i híbrid, el 44% de les organitzacions han sigut testimonis d’un augment dels atacs dirigits a les VPN.

Per això, és important conéixer bé què són les VPN, els seus usos més comuns i seguir una sèrie de recomanacions que permeten protegir els usuaris quan en facen ús.

S’entén com VPN, o Virtual Private Network¸ una xarxa local que permet connectar diferents dispositius entre si a través d’internet. L’ús d’aquesta tecnologia té nombrosos avantatges. La companyia Kaspersky, marca reconeguda pels seus serveis de ciberseguretat, destaca els benecifis següents:

• • • Xifratge de dades: Les connexions VPN es xifren amb una clau de manera que, si algú vol visualitzar les dades, la necessitarà per a desxifrar-los.
    • Amagar la ubicació: La manera de treballar d’aquesta tecnologia, dificulta conéixer la ubicació exacta de la persona que fa ús de la VPN.
    • Accés a contingut regional: Les VPN permeten a un usuari modificar la seua ubicació regional, de manera que li permeta accedir a continguts que només estan disponibles en altres països.
    • Transferència segura de dades: Els serveis de VPN estableixen connexions amb servidors privats i utilitzen mètodes de xifratge per a reduir el risc de filtració de dades.

Per això, les VPN poden emprar-se per a una gran diversitat d’objectius i adaptar-se a les necessitats de cada usuari/empresa i entorn, encara que els seus usos principals actualment se centren en el teletreball i a evitar les restriccions per geolocalització.
Tot això i l’alta demanda de les VPN ha suposat un increment en la quantitat de proveïdors que ofereixen una solució VPN. A més, el ventall de possibilitats d’aquesta tecnologia ofereix tant versions gratuïtes com de pagament i totes elles adaptades a les necessitats de cadascun. Entre els proveïdors més coneguts, ADSLZone destaca els següents:

• • • NordVPN: Destacada per ser la més aconsellada per a accedir a contingut d’altres regions d’algunes plataformes d’streaming.
    • Surfshark VPN: Es destaca per permetre un nombre il·limitat de dispositius connectats.
    • Atles VPN: Reconegut per la velocitat de connexió que ofereix.
    • CyberGhost: Aquesta solució es destaca per oferir un servei 24/7 de suport.

Amb tot el descrit anteriorment, és indiscutible que les VPN són realment un servei atractiu i a l’abast de tot el món; però, igual que totes les tecnologies, el seu ús també s’enfronta una sèrie de riscos, principalment riscos de ciberseguretat. Entre aquests riscos, els que més destacables són:

• • • Atacs dirigits: A través de tècniques d’enginyeria social, un atacant pot aconseguir les dades d’un empleat i connectar-se a la xarxa de la companyia. Una situació d’aquest estil és la patida per la companyia Cisco, que descriu en aquest article l’ocorregut.
    • Aplicacions VPN fraudulentes: S’han detectat casos en els quals algunes aplicacions no són realment serveis de VPN, sinó que tracten d’infectar el dispositiu després de la instal·lació de la suposada aplicació.
    • Filtrat de dades: A vegades, l’ús de VPN actua contràriament al seu objectiu, proporcionar seguretat. En l’últim any, s’han notificat filtrats de dades d’usuaris per fer ús d’aplicacions de VPN gratuïtes. Un exemple és el filtrat de 21 milions de dades d’usuaris per l’ús de GeckoVPN, SuperVPN i ChatVPN.

Per això, i per a concloure, tot seguit es descriuen una sèrie de recomanacions per a un ús segur de les xarxes virtuals:

• • • No compartisques les teues credencials de VPN amb ningú.
    • Utilitza aplicacions de VPN de proveïdors certificats.
    • Activa totes les opcions de seguretat que t’oferisca l’aplicació.
    • Activa la connexió VPN amb multifactor.

Com cada mes, tornem amb un nou butlletí en el qual coneixerem més detalladament què són les cookies i algunes sancions a les quals s’han enfrontat grans empreses per aquestes.

Amb l’entrada en vigor del Reglament General de Protecció de Dades, de 2016, totes les pàgines webs que recapten informació sobre la navegació dels usuaris han sigut obligades a informar d’això a través de les conegudes cookies. L’incompliment d’això o la falta de detalls pot derivar en sancions econòmiques, des de 2018. Així ho hem pogut veure en casos com el de la famosa xarxa social TikTok que, segons informa TechRadar, s’enfronta a una multa enorme per informació insuficient sobre les cookies. La multa ascendeix a un total de 5 milions d’euros, a conseqüència de la dificultat que es va detectar per a rebutjar l’ús de cookies, considerant que l’acceptació d’aquestes era més senzilla.

Un altre dels exemples més recents i més comentat va ser la sanció que va aplicar l’Agència Espanyola de Protecció de Dades (AEPD), l’any passat 2022 al gegant Google LLC, per cedir dades a tercers sense legitimació i obstaculitzar el dret a la supressió, així ho informa la pròpia AEPD. L’organisme espanyol va detectar dues infraccions greus i va imposar una sanció que suposa un total de 10 milions d’euros, adeqüe a la normativa de protecció de dades personals la comunicació de dades al Projecte Lumen i suprimir totes les dades personals que així hagen sigut sol·licitats i instar aquest últim a fer-ho també.

Un estudi realitzat per l’empresa Avast conclou que el 60% dels espanyols accepta les cookies sense tindre coneixements sobre elles. Per tot això, és important que tothom conega què són les cookies i com funcionen.

Es coneixen com a cookies a xicotets arxius de dades que s’emmagatzemen en els ordinadors dels usuaris quan visiten pàgines web. Aquestes poden emmagatzemar dades com a credencials d’usuari o el comportament en la navegació per la pàgina.

Com bé descriuen des de ayudaley, aquests arxius tenen diverses funcionalitats. Una de les més importants és que permeten a les pàgines web reconéixer als usuaris i emmagatzemar les seues credencials evitant que hagen d’identificar-se en cada accés que realitzen.

Un altre dels usos més comuns d’aquests fitxers és recordar el comportament i els hàbits que tenen els usuaris en la seua navegació, permetent millorar l’experiència d’aquests i adaptar els anuncis a les necessitats d’aquests.

Amb la finalitat de facilitar la incorporació de les cookies a les pàgines web, l’AEPD, ha creat una guia de referència en la qual podem identificar a més els tipus de cookies que existeixen i exemples d’aplicació d’aquestes. Així doncs, l’AEPD divideix les cookies en funció de qui les gestione, que poden ser pròpies o de tercers i, d’altra banda, en funció de la seua finalitat, que poden ser tècniques, de preferències o personalització, anàlisi o mesurament i de publicitat. Finalment, l’AEPD també les divideix en funció del temps que es mantenen, que poden ser de sessió o persistents.

A més, en aquesta guia, i amb la finalitat d’evitar que els organismes puguen ser sancionats, estableix una ajuda sobre quina informació han de facilitar les cookies. Per a això, i basant-se en l’article 22 de la llei LSSI, es defineix que aquests arxius han de facilitar als usuaris informació clara i completa sobre la utilització dels dispositius d’emmagatzematge i recuperació de dades i, en particular, sobre els fins del tractament de les dades.

Hem de tindre en compte que tota aquesta informació emmagatzemada, pot ser vulnerada i aprofitada per atacants cibernètics també. Actualment, existeixen diversos mètodes per a extraure aquests arxius i obtindre informació com a credencials d’usuari o dades personals. Alguns d’aquests, els podem identificar en el blog de esedsl, entre els quals destaquen:

• • • Sessió sniffing: a través d’un analitzador de paquets, els atacants poden extraure les cookies que formen part del trànsit de xarxa.
    • Xarxes Wifi: Amb la connexió a xarxes públiques, es pot analitzar el trànsit i robar cookies dels usuaris.
    • Sessió fixation: A través de tècniques com el phishing, es poden enviar enllaços maliciosos i conéixer l’ANEU de sessió de l’usuari.

Incidents ja visibles relacionats amb ciberatacs per cookies els hem poguts veure amb l’alerta d’una campanya de phishing que obté les cookies de sessió per a llançar un atac BEC amb el qual robar diners, així ho informa el periòdic europapress. Per a això, els atacants van establir un punt mitjà entre l’usuari i el servidor destí i van poder interceptar l’inici de sessió de l’usuari, amb el qual van extraure a més la cookie. Amb aquesta, els atacants poden replicar l’inici de sessió.

Finalment, us deixem una sèrie de recomanacions descrites per esedsl:

• • • Tancar sessió de tots els llocs web
    • Eliminar cookies de navegació
    • Mantindre els sistemes actualitzats.
    • No accedir a enllaços desconeguts.

Comencem l’any nou amb un nou butlletí en el qual coneixerem més detalladament el chatGPT i quines són les aplicacions actualment de la intel·ligència artificial.

A la fi del 2022, l’empresa OpenAI va llançar una nova intel·ligència artificial, a l’abast de tots els usuaris, que permet mantindre converses amb qualsevol persona i donar respostes molt encertades, el chatGPT. Així, i amb les capacitats que ha demostrat tindre, aquesta intel·ligència s’ha fet eco arreu del món. Però saps què és realment?

La intel·ligència artificial, també coneguda com a IA, és una part de la ciència de la computació que tracta de replicar i desenvolupar intel·ligència per si mateixa i permetre així que les màquines pensen i raonen de manera autònoma. Per a fer-ho, la intel·ligència es basa en algorismes d’aprenentatge profund.

La gran capacitat d’adaptació i aprenentatge que té ha permés aplicar-la a una gran quantitat d’àmbits, des del sector de les finances fins als sectors industrial, naval, automobilístic o a la sanitat. Així doncs, un exemple recent que s’ha pogut conéixer és que la marca Audi ha desenvolupat internament la seua pròpia IA, coneguda com a FelGAN, i a la qual ha anat entrenant per a ajudar a crear les llandes del futur de la mà de dissenyadors i enginyers de la companyia.

Un altre exemple d’aplicació és en l’àmbit de la sanitat, en el qual s’han detectat molts avantatges en fer-la servir. Així ho destaca el director de Digital Health d’Eurecat, Felip Miralles, en una entrevista en el periòdic Infosalus, on destaca que els primers èxits quant a l’aplicació es donen sobretot en l’àmbit de la interpretació de la imatge mèdica, radiològica o de TAC en 3D. Uns èxits que permeten que els professionals de la salut milloren tant en la precisió del diagnòstic com en la rapidesa de fer-ne un i els permet, a més, adaptar els tractaments a cada pacient.

I, com és d’esperar, un dels camps on més importància presenta la intel·ligència artificial és en el de la ciberseguretat, on es considera un element clau per a combatre els ciberatacs. Una publicació recent de ThinkingBig, de Telefónica, destaca que «gràcies a la capacitat d’aprenentatge continu que té, la IA pot identificar, prioritzar i analitzar amenaces» i descriuen que alguns dels avantatges que podem trobar en la IA en l’àmbit dit són:

• • • • Anàlisi predictiva: mitjançant les anàlisis predictives, la IA pot previndre amenaces futures analitzant comportaments i fent estudis estadístics.
      • Detecció automàtica d’amenaces: gràcies als algorismes d’aprenentatge automàtic, la IA pot detectar possibles amenaces de rendiment.
      • Prevenció de potencials atacs: la IA permet detectar anomalies en la xarxa i el flux de dades a través de l’anàlisi de patrons.
      • Automatització de la seguretat: en automatitzar els protocols de seguretat, s’eviten errors humans i s’estalvia temps i esforç.
      • Vulnerabilitats dia zero: la IA permet eliminar vulnerabilitats de dia zero que aprofiten els atacants abans que els responsables dels sistemes puguen resoldre-les.

Una de les intel·ligències artificials més comentada últimament és el ChatGPT que permet els usuaris fer tota classe d’activitats, algunes molt aprofitades com ara redactar notícies, ajuda en les activitats escolars o cerca d’informació només introduint una sèrie d’indicacions. Però és una classe d’IA que també permet els usuaris anar més enllà, com en el cas de la programació, on el xat ajuda els programadors a trobar errors en els codis agilitzant-ne la faena i enfortint-los, ja que els permet eliminar fallades que poden aprofitar atacants. Això sí, hem de tindre en compte que tot el que incloguem en la conversa amb chatGPT queda registrat perquè puguen millorar les seues capacitats, per la qual cosa intenta no incloure informació personal teua ni peticions que siguen potencialment perilloses o delictives, segons recomanen els experts en Xataka.

Si bé és cert que la IA pot ser molt útil, si s’aplica de manera correcta, les facilitats que presenta poden ser perilloses alguna vegada, si se’n fa un mal ús. En són exemples els casos com la IA desenvolupada per Microsoft, VALLE-E, una IA similar a ChatGPT que és capaç d’imitar la teua veu només de sentir-te 3 segons, segons informa 20 minutos, que tot i que no està creada amb la dita finalitat, es podria aprofitar per a suplantar la identitat de les persones.

N’és un altre exemple recent la detecció dels primers usos de chatGPT per a recrear programari maliciós, segons 20 minutos. Un fet que permet que persones sense coneixements profunds en la matèria puguen aprofitar-la per a fer atacs maliciosos més fàcilment.

Com cada mes, i per a acabar l’any, en aquest butlletí tractarem el frau en línia i com els delinqüents aconsegueixen camuflar la seua identitat per a robar les teues dades.

Internet ha aconseguit convertir-se en un component imprescindible en el nostre dia a dia i ha posat a l’abast d’uns quants clics una infinitat de possibilitats, permetent que puguem des de fer cridades per videotelèfons d’un costat del món a l’altre, a realitzar les compres del supermercat en tan sols 15 minuts.

Aquesta facilitat i comoditat que ens ha proporcionat internet, no obstant això, també és explotada pels delinqüents, que aprofiten l’anonimat i el desconeixement dels usuaris per a aconseguir furtar-ne les dades a través de tècniques que es coneixen com enginyeria social, que s’aplica generalment a través del phishing amb el qual aconsegueixen estafar els usuaris.

L’imparable augment de les estafes per internet, segons declara Las Provincias, és una realitat. Declaren que: “els fraus a través de la xarxa s’han multiplicat per tretze en deu anys.” A més, aclareixen que, en concret, aquest tipus de delictes són els més corrents: “i suposen el 87,5% de totes les infraccions penals relacionades amb la cibercriminalitat”.

En general, algunes de les situacions que solen aprofitar-se per a llançar aquestes campanyes massives són les èpoques com l’obertura del període de la Declaració de la Renda, rebaixes, Black Friday o Nadal, on no sols els comerços són víctimes de suplantació d’identitat, també es veuen afectades les empreses de missatgeria.

Això ho hem pogut veure últimament en el cas d’Hisenda i l’Agència Tributària, que, després d’obrir el període per a l’exercici de 2021, es va llançar una campanya massiva de phishing en el qual, a través del correu electrònic s’informava el ciutadà que “està pendent presentar una certa documentació”, segons informava la Guàrdia Civil en el seu compte oficial de Twitter i en el qual pretenien descarregar un malware.

Un altre d’aquests casos que hem pogut escoltar aquests dies és una suposada oferta per part d’Amazon en la qual es regalen productes. Segons va publicar Maldita en la seua pàgina web, aquesta estafa: “circula principalment a través de WhatsApp una suposada promoció d’Amazon que, amb motiu del Black Friday, estaria regalant 5.000 productes gratis”, en la notícia No, Amazon no està regalant 5.000 productes gratis amb motiu del Black Friday. En aquest cas realitzaven una enquesta a les seues víctimes de quatre preguntes i els sol·licitaven una sèrie de dades personals i bancàries.

Un altre àmbit en els quals més casos podem identificar aquest tipus d’estafes són les campanyes massives suplantant la identitat d’entitats bancàries en les quals s’anuncia a l’usuari que el seu compte serà bloquejat pròximament o que s’ha realitzat un pagament des de compte i que l’usuari no reconeix, i se’ls facilita un enllaç en el qual es demanen les dades bancàries de l’usuari per a poder accedir al seu entorn i gestionar la situació.

I, és que, encara que legalment els delinqüents estan incorrent en un delicte, els bancs no retornen els diners sempre als seus clients, ja que, si aquests són capaços de demostrar que el ciberincident va ocórrer per una negligència greu per part de l’usuari, poden negar-se al pagament de les pèrdues que hagen pogut ocasionar-se.

Si bé és cert que, en aquests últims mesos, s’ha pogut apreciar una tendència legal a favor de la víctima. Així ho informa EL PAIS en la seua notícia: “Els jutges es posen de part de les víctimes de phishing bancari”, on comenten que: “la recent jurisprudència és pràcticament unànime a l’hora de considerar que el banc ha de restituir les quantitats sostretes per un tercer, ja que com a depositari dels fons té l’obligació legal de conservar i retornar els diners guardats”.

Amb la finalitat de mantindre’s protegits i ajudar la resta d’organitzacions a mantindre’s segures i al dia, el personal del CSIRT-CV va participar activament en les jornades STIC convocades pel CCN els dies 29 i 30 de novembre i 01 de desembre. En aquestes jornades, els experts de diferents organitzacions van compartir les novetats més rellevants de l’any en curs i futurs, així com les tendències de la ciberseguretat.

No et confies, que les ciberestafes cada vegada són majors i més sofisticades, per la qual cosa hem de parar atenció sempre a qualsevol informació que ens arribe, especialment a aquelles que rebem en èpoques marcades de l’any. Per a això, recorda aquests sis consells sobre com evitar-les, basats en un recent informe de S2 Grupo, especialistes en ciberseguretat:

• • • No compres mai en botigues desconegudes a través d’enllaços vists en xarxes socials.
    • Desconfia de descomptes cridaners.
    • Sempre que siga possible, recull els articles en botiga i realitza el pagament presencial.
    • Evita els pagaments amb mòbil en llocs públics en els quals puguen observar el teu PIN o clau d’accés.
    • Activa les opcions que ajuden a verificar qui és la persona que realitza la compra, com el reconeixement facial, les empremtes dactilars, etc.

I si has sigut víctima de qualsevol ciberestafa:

• • • Crida al teu banc perquè cancel·len l’operació ràpidament.
    • Canvia les teues claus d’accés.
    • Denuncia el frau davant les autoritats competent.