Advierten de la exposición de los universitarios españoles al robo de datos personales

El regreso a las aulas universitarias ha venido marcado por los conocidos protocolos y medidas de seguridad para evitar en la medida de lo posible que haya más contagios por la Covid-19 en España. Además de las recomendaciones básicas de higiene y protección personal, muchas universidades han optado por un modelo híbrido de enseñanza que combina las clases presenciales con el aprendizaje virtual. En este escenario cobrarían mayor protagonismo otros canales de comunicación como el correo electrónico, que sigue siendo el vector de amenaza más utilizado por los ciberdelincuentes. Esto dejaría al alumnado más expuesto al riesgo de recibir un mensaje fraudulento y, en el peor de los casos, a sufrir el robo de sus datos personales.

Expertos de ciberseguridad de Proofpoint han analizado las diez principales universidades españolas, de acuerdo al octavo U-Ranking elaborado por la Fundación BBVA y el Ivie, a fin de conocer si están adecuadamente preparadas frente a cualquier amenaza entrante por correo electrónico. Para ello, la compañía se ha fijado en si desde estas instituciones se ha llevado a cabo la adopción del protocolo de seguridad DMARC* que permite la autenticación fiable de los remitentes de un email y el bloqueo de mensajes fraudulentos. Es considerado actualmente como la mejor defensa tecnológica contra los ataques de phishing y la suplantación de dominios o spoofing. La implementación de DMARC ayuda a definir qué tratamiento debe darse a los correos electrónicos que hacen un uso indebido de un nombre de dominio, así como la política que tiene que aplicarse en caso de fallo en la verificación: modo bloqueo (el usuario no recibiría el email), cuarentena (el correo pasa a la carpeta de spam) o none (se reporta a la organización, pero el mensaje queda entregado igualmente).

Estos son los principales datos que arroja la muestra realizada por Proofpoint al respecto:  

· Cinco de estas diez universidades españolas destacadas no cuentan con una política de DMARC, por lo que corren el riesgo de que los ciberdelincuentes usurpen el nombre de sus dominios y sufran ataques de phishing.

· La otra mitad (50%) ha adoptado este protocolo de seguridad, pero de forma incompleta y poco estricta, sin protegerse proactivamente contra correos electrónicos fraudulentos.

· Ninguna de ellas bloquea el envío de estos mensajes antes de que lleguen a su destinatario.

Desde Proofpoint advierten que este vacío en medidas de seguridad allana el camino a los atacantes para cometer distintas infracciones. Entre las más comunes destacan aquellos emails que, a simple vista, pueden parecer muy convincentes al usuario por utilizar el logo, la tipografía o los colores distintivos de una organización, y que además han sido enviados desde direcciones con dominios de confianza, saltándose incluso los filtros de spam. Esto consigue aumentar el número de víctimas potenciales que finalmente entrega sus credenciales, información bancaria y otros datos sensibles sin que haya casi atisbo de duda. Si todo este caché de información cae en las manos equivocadas, podría venderse con fines lucrativos, emplearse para defraudar a más gente o suplantar identidades.

Los ciberdelincuentes están adaptando constantemente su tácticas de ataque para sacar el máximo beneficio con el mínimo esfuerzo, y ahí es donde entran las amenazas por correo electrónico. Ya sea en incidentes a escala o muy dirigidos, estos ataques de ingeniería social son simples pero tremendamente efectivos, ya que se aprovechan de la vulnerabilidad humana: siempre hay alguien que hará clic en un enlace o archivo adjunto malicioso.

“Estamos en un momento especialmente complicado en el que la pandemia por el coronavirus y la incertidumbre que esta ha provocado entre la población han servido de caldo de cultivo para los ciberdelincuentes”, declara Fernando Anaya, Country Manager de Proofpoint. “Tanto empresas como instituciones tienen el deber de desplegar protocolos de autenticación con los que hacer más fiables sus canales de comunicación y, de este modo, proteger a los usuarios de ciberdelincuentes que quieren hacerse pasar por entidades de su confianza”.

Recomendaciones básicas de seguridad

Además de implementar una defensa sólida en torno al correo electrónico, Proofpoint aboga por que desde cada universidad se inculque una conciencia de ciberseguridad entre el alumnado a través de las siguientes buenas prácticas:

· Conviene ser muy conscientes de los riesgos que puede entrañar el uso fraudulento del dominio o la entidad de una universidad, como institución legítima y de confianza para el usuario, por parte de ciberdelincuentes. Por tanto, es necesario verificar cualquier comunicación por correo electrónico que resulte sospechosa con la fuente oficial.

· Prestar atención a posibles errores ortográficos y gramaticales en los mensajes, ya que esto puede ser indicativo de que sean fraudulentos.

· Extremar las precauciones al recibir un email en el que se soliciten credenciales de inicio de sesión o se advierta de la suspensión de servicios o cuentas si no se hace clic en un enlace.

· Establecer un uso adecuado de contraseñas para que su integridad no se vea comprometida como método de autenticación seguro. Esto supone emplear una clave única para cada sitio al que quiera acceder el usuario, que sea lo más segura posible y cambiarla con frecuencia.

· A la hora de entrar en la página web y otras plataformas de la universidad, se debe escribir la dirección del sitio directamente en el navegador para mayor seguridad.

Proofpoint recuerda que una seguridad efectiva contra ataques de ingeniería social requiere de un enfoque centrado en las personas. Cuanto más sepa una organización, en este caso las universidades, su personal y alumnado acerca de las amenazas y los factores de riesgo más comunes, mejor podrán defenderse.