La Ciberseguretat a les Entitats Socials: com prevenir estafes i Phishing

Les entitats socials són especialment vulnerables als ciberatacs per diversos factors. Sovint, tenen una estructura descentralitzada i la cultura digital dels seus membres és limitada. A més, moltes d’elles disposen de recursos tecnològics limitats, fet que facilita que siguin objectiu de ciberdelinqüents. 

A això s'afegeix la confiança que aquestes organitzacions generen en la comunitat, un aspecte que, en alguns casos, pot ser utilitzat per aprofitar-se de la bona fe dels seus membres. Les estafes digitals, especialment les d'intent de Phishing, han augmentat considerablement en els darrers anys. Aquests atacs posen en risc no només les dades personals i financeres, sinó també l'operativa de les entitats socials, arribant fins a afectar la seva sostenibilitat i viabilitat a curt, mig i llarg termini.

Tipus d’estafes més freqüents

Dins de les estafes digitals més comunes que afecten les entitats socials, una de les més esteses és el Phishing. Aquest tipus d'atac es basa en l'enviament de correus o missatges falsos que aparenten ser de fonts legítimes, amb l'objectiu de robar credencials d'accés. Un exemple típic seria un correu electrònic que es fa passar per la Seguretat Social i que demana dades bancàries.

Una altra pràctica habitual és la suplantació de proveïdors, on els atacants es fan passar per proveïdors habituals i capturen i modifiquen les dades bancàries per tal que els pagaments siguin enviats a un compte fraudulent. Per exemple, un correu pot comunicar a l'entitat que un dels seus proveïdors ha canviat el compte bancari i que les futures transferències s'han de fer a un nou IBAN.

També és molt comuna l'estafa del president, en què un atacant es fa passar per un directiu de l’entitat i demana transferències urgents. Sovint, es fa a través de correus electrònics falsos signats pel president de l’entitat, indicant que cal realitzar un pagament immediat per a alguna emergència.

Finalment, les estafes que impliquen Malware adjunt són cada cop més habituals. Es tracta d’arxius adjunts als correus, com documents PDF o altres tipus d'arxius, que, en ser oberts, infecten els sistemes informàtics de l’entitat amb virus o altres tipus de programari maliciós.

Origen dels problemes

Hi ha diversos factors que contribueixen a la vulnerabilitat de les entitats socials davant dels ciberatacs. En primer lloc, la baixa formació digital del personal, especialment entre voluntaris i membres administratius i fins i tot per part de la direcció de l’entitat, fa que no es disposi de les eines ni els coneixements necessaris per detectar ciberamenaces. Això s'agreuja per l'ús de correus no corporatius com Gmail, Yahoo o Outlook per a la comunicació interna, la qual cosa facilita que els atacants simulin ser membres de l'entitat.

A més, moltes entitats no disposen de protocols interns de verificació de canvis i operacions importants com transferències bancàries o modificacions en les dades de proveïdors, fet que augmenta el risc d’incidents de seguretat. 

Finalment, la infraestructura tecnològica obsoleta o poc protegida és un altre factor que incrementa la vulnerabilitat, ja que molts dels sistemes utilitzats no disposen de les actualitzacions ni les proteccions de seguretat necessàries.

Recomanacions pràctiques

Per a poder afrontar aquestes vulnerabilitats, és fonamental que les entitats socials adoptin una sèrie de pràctiques i recomanacions. 

En primer lloc, la formació contínua és crucial. Cal organitzar sessions regulars per a tot el personal, on s'expliquin les bones pràctiques en Ciberseguretat i es proporcionin recursos de suport per garantir que tots els membres de l'entitat estiguin actualitzats.

Una altra mesura important és la verificació en dos passos. Activar l'autenticació multifactorial en les plataformes que utilitzen, com els comptes de correu electrònic i altres eines digitals, és una manera eficaç d'augmentar la seguretat. Això ja s'aplica en molts sectors, com el bancari, i és una pràctica que pot evitar un gran nombre d’atacs.

A més, les entitats han d’establir protocols interns clars, com per exemple regles específiques per verificar els canvis de compte bancari, les transferències i altres comunicacions sensibles. Aquests protocols haurien de definir els passos a seguir en qualsevol situació de canvi o comunicació important i haurien de ser actualitzats regularment per garantir que estiguin al dia amb les darreres pràctiques de seguretat.

És important també que les entitats utilitzin dominis corporatius i evitin l'ús de correus personals per a la gestió de tasques institucionals. Això ajuda a reduir el risc que els atacants utilitzin els correus personals per infiltrar-se en la comunicació oficial de l’entitat. Una altra mesura útil seria la realització de simulacions de Phishing per identificar vulnerabilitats humanes en el personal i millorar la resposta davant de futurs atacs.

A més a més, cal mantenir una actualització constant dels sistemes. Els dispositius i programes han de comptar amb les últimes versions de seguretat disponibles per evitar que els atacants puguin aprofitar-se de vulnerabilitats antigues. 

Finalment, cal disposar del recursos adequats (humans, tècnics i financers), amb els corresponents perfils basats en el  coneixement i experiència en la gestió integral de la seguretat aplicada en les entitats socials.

Conclusions i missatge final

Malgrat els recursos limitats amb què moltes entitats socials treballen, la Ciberseguretat no pot quedar relegada a un segon pla. El paisatge de les amenaces digitals evoluciona de manera ràpida i constant, amb l’ús fraudulents de la intel·ligència artificial i noves tècniques híbrides com el Quishing, Vishing o Spear Phishing. Això implica que les entitats socials han de ser proactives i flexibles, adoptant un enfocament rigorós i col·lectiu en la seva gestió interna i en l'ús dels seus recursos digitals.

Per això, és fonamental que les entitats socials prioritzin la cultura de la prevenció, la formació continuada i el compliment de les normatives com a pilars estratègics en les seves operacions diàries. Accions senzilles com la revisió de contrasenyes, l’actualització de còpies de seguretat i la participació en formacions regulars poden evitar incidents de seguretat que tinguin conseqüències greus i irreversibles per a l’entitat.

Invertir en Ciberseguretat és una manera de protegir les persones, l'impacte social i la sostenibilitat d’aquestes organitzacions a curt, mig i llarg termini. Implantar polítiques i plans de seguretat adequats és una inversió d’alt valor afegit per a la viabilitat, sostenibilitat i el futur de les entitats socials. La col·laboració entre entitats, administració i experts en Ciberseguretat és essencial per garantir una digitalització segura, inclusiva i sostenible per a tots.