Segons ISACA, s'enten per ciberseguretat la protecció d’actius d’informació mitjançant el tractament de les amenaces existents per a la informació que és processada, emmagatzemada i transportada per sistemes d’informació que es troben connectats amb Internet.

Així doncs, ser coneixedores de la Regulació General de Protecció de Dades, dels nostres drets i deures, dels organismes als quals podem adreçar-nos en cas de situacions de vulneració i ser conscients del valor que tenen les nostres dades en el sistema de la informació ens aproparà a un horitzó de sobirania de la informació.

L'Agència de Ciberseguretat de Catalunya és l'organisme que governa la ciberseguretat a Catalunya i vetlla per a protegir la ciutadania i capacitar-la amb recursos per tal de que aquesta pugui lluitar conra el frau digital.

La digitalització i el frau digital: dos fenòmens que es retroalimenten

Que hagi avançat molt la digitalització també vol dir que ha avançat molt el crim a les xarxes. Ara ens trobem en la cerca d'un nou equilibri: la societat ha avançat molt en termes de digitalització però la delinqüència digital, també. La digitalització (sector educatiu, empreses i tercer sector) s'ha de fer podent abordar les amenaces que hi ha a la xarxa.

L’Informe de tendències de ciberseguretat de l’Agència de Ciberseguretat de Catalunya del 2n Semestre de l'any 2020, explica que els ciberdelinqüents, per contrarestar la caiguda de l’import dels rescats del darrer trimestre de l’any 2020, es dirigeixen a empreses un 400% més grans i incorporen nous factors d’extorsió com ara l’amenaça de filtració de dades o la realització d’atacs de denegació de servei distribuït (DDoS) per inhabilitar les comunicacions a Internet.

Aquests atacs de DDoS han augmentat un 151% durant la primera meitat de 2020, respecte al mateix període de 2019. A més, han crescut en amplada de banda, durada i complexitat. Els ciberdelinqüents estan incorporant nous protocols de xarxa, perquè els paquets de dades enviats semblin peticions legítimes i col·lapsin els recursos del servidor atacat.

El cibercrim també ha evidenciat una especial predilecció per atacar el sector sanitari amb programari de segrest, amb un augment significatiu en els dos darrers mesos de 2020. El motiu d’aquest increment és que, en la crisi sanitària actual, el sector sanitari és especialment essencial i, en cas d’un incident de ransomware, les probabilitats que es vegi forçat a realitzar el pagament d’un rescat són més altes.

Aquest Informe de Tendències del 2n Semestre de 2020, fa un extens repàs a les principals ciberamenaces detectades al món i té en compte fonts qualificades d’entitats, fabricants, organismes i professionals de l’àmbit de la ciberseguretat, alerta que els atacs de suplantació de correus electrònics de professionals (BEC) també són cada cop més habituals, amb un increment del 155% durant el tercer trimestre del 2020.

El desplegament del teletreball durant la covid-19 ha incrementat el risc de ciberatacs dirigits als accessos remots usats per les persones que teletreballen. La compra d’una credencial d’accés via RDP corresponent a una organització d’un govern local pot ratllar els 3.000 euros al mercat negre. També, es repeteixen els incidents relacionats amb persona laboral o col·laboradores internes, ja siguin causats per una negligència o intencionats motivats per la precarietat laboral derivada de la crisi de la covid-19.

Els cibercriminals s’estan adaptant als nous hàbits de consum d’Internet de la ciutadania i es centren en la cerca de credencials robades que els permetin el benefici més gran. Els serveis en línia més sol·licitats d’oci, aprenentatge, alimentació, salut o relaxació estan en el punt de mira del cibercrim. Així, el 72% de les credencials més cotitzades actualment correspon a nous serveis utilitzats durant el distanciament social.

Des de la declaració de pandèmia, l’activitat de phishing (simulació d’una identitat falsa per correu electrònic, trucada o altres mitjans) s’ha disparat a la cerca de víctimes entre els internautes: la diversitat de temàtiques dels correus de phishing s’ha triplicat i el nombre de llocs web de phishing pràcticament s’ha quadruplicat.

L'Agència de Ciberseguretat de Catalunya i una internet segura

L'Agència de Ciberseguretat de Catalunya és l’encarregada d’executar les polítiques públiques en matèria de Ciberseguretat i desenvolupar l’estratègia de Ciberseguretat de la Generalitat de Catalunya. És l’organisme que governa la Ciberseguretat a Catalunya. És l’encarregada d’establir el servei públic de ciberseguretat i treballa per garantir i augmentar el nivell de seguretat de les xarxes i els sistemes d'informació a Catalunya, així com la confiança digital de la ciutadania.

A l'Agència hi treballen 140 persones distribuïdes en diferents serveis: el SOC i el CERT.

El centre d'operacions de seguretat (SOC) és responsable de prevenir, protegir, detectar i respondre amb diligència a les amenaces i incidents de ciberseguretat vigents a l'àmbit de la Generalitat de Catalunya i el seu sector dependent.

El CERT, Computer Emergency Response Team, és l'entitat responsable de la coordinació i el suport a la resposta en front a incidents de ciberseguretat.

L'Agència detecta 270 milions d'atacs a l'any a Catalunya, d'aquests 11.000 esdevenen incidents que són gestionats pel CERT, l'equip de resposta als incidents, que "es desplacen" a l'equip que ha patit l'atac per extreure'n el màxim d'informació relativa a l'atac. Es tracta doncs d'una espècie de maletí d'evidències. A continuació l'anomenat Govern del risc, analitza les amenaces que poden esdevenir incidents.

Tots els dominis.cat estan protegits sota la monitorització de l'Agència, així com administració local, sistema de salut, centres de recerca i universitats. Això es tradueix en la protecció d'uns 2.000 sistemes d'informació, i 222.000 persones que els gestionen.

Aquests sistemes d'informació tenen a veure amb plans estratègics del govern, vides humanes (sistemes d'emergències i sistemes d'informació policial), informació sensible de la ciutadania (dades de salut, de menors o en situació de risc) i transaccions socioeconòmiques (fons europeus, innovació i recerca).

Tenint en compte la complexitat i abast de la digitalització al territori esdevé especialment important abordar la problemàtica dels atacs a l'administració amb l'interco-operació entre ens locals. No pot haver una administració segura sense una societat que estigui conscienciada, informada i formada en matèria de ciberseguretat.

El Frau digital: què és?

Quan parlem d'amenaces a nivell mundial, una de les vessants a la que ens referim és la ciberdelinqüència associada als botnets o l'IOT, l'Internet de les coses. Dispositius connectables en espais domèstics, públics o privats poden ser utilitzats com elements d'atac cap als diferents serveis que hi ha a la xarxa. Els principals riscos es troben en l'activitat publicitària (37%), la mineria (criptomoneda, bitcoin) (23%) i l'activitat web (16%).

Algunes de les amenaces més grans que l'Agència ha gestionat en els darrer any són la interrupció del servei als ajuntaments (Ransomware), Intrusió no autoritzada a diferents hospitals de referència de Catalunya (credencials robades) i espionatge a membres del govern (vulnerabilitat dispositiu mòbil), entre d'altres.

El frau digital està directament relacionat amb el concepte d'enginyeria social. S'enten per enginyeria social l'acte de manipular una persona a través de tècniques psicològiques i habilitats socials per assolir uns objectius específics (robar informació confidencial, accedir als seus sistemes d'informació, infectar ordinadors amb programari maliciós).

Un exemple és el robatori d'informació confidencial, aquella trucada comercial que es rep en la que se'ns pressuposa ser sòcies d'una entitat per tal d'obtenir una informació que no s'hagués aconseguit amb una pregunta directa. Una primera acció que pot derivar en un frau o atac major. Un altre exemple és un correu electrònic amb un enllaç en el que se't demana que facis clic en l’enllaç per confirmar que l’eina funciona tot demanant que introdueixis la teva contrasenya.

Tipologies de frau digital

Pharming (desencaminament): tècnica per la qual es suplanta una web simulant dominis de marques comercials i entitats bancàries per a campanyes de phishing, injecció de codi maliciós o descàrrega de PUP. Aquesta simulació es fa a través d’enllaços escurçats (https://bit.ly/3456) , errors tipogràfics (https://www.gencat.ca) o enllaços parany - Typosquatting (www.go0gle.com). Avui dia hi ha tècniques molt ràpides per copiar pàgines web en qüestió de segons. El 2019 el 18,6% dels dominis registrats eren maliciosos.

Un truc que ens pot ajudar a identificar si un enllaç escurçat (bit.ly) és segur abans d’obrir-lo, és afegir un símbol + al darrera del domini de manera que s’obrirà una pàgina estadística que ens informa a quina adreça ens redirigirà exactament l’enllaç.

Phishing: Enviament de correus electrònics inesperats i de remitent desconegut amb arxius infectats o amb enllaços per prendre’ns les nostres credencials, usuaris i contrasenyes amb l’objectiu d’aconseguir dades econòmiques o sanitàries. De fet a la dark web, el valor que se li dona a una dada sanitària és 100 vegades major que a una contrasenya. Un exemple molt comú és un correu electrònic per fer la declaració de la renda o verificar l’autenticitat d’un compte de Microsoft.

Per tal de detectar un phishing, hem de fixar-nos si:

1. Es tracta d’un missatge no esperat
2. Que presenta un problema que no sabia que tenies
3. Que nclou terribles conseqüències
4. et demana que facis un clic urgent per avitar-ho

Spear phishing: a diferència del phishing que s’adreça a la població en general, l’spear phishing és un phishing dirigit per tant s’adreça a una persona en concret (la persona que administra les nòmines d’una entitat, per exemple). A través d’aquesta tècnica s’intenta comprometre el compte d’una persona per tal d’enviar malware des d’aquest i comprometre així tots els comptes vinculats. Un consell per evitar aquestes amenaces és incloure signatures al peu del correu electrònic.

Vishing (pesca per veu): realització de trucades que es fan passar per una organització o persona de confiança i fan accedir la víctima a una web concreta per extreure’ns informació. Pot esdevenir especialment perillós quan s’automatitzi i sigui una màquina la que efectua la trucada per el gran volum que pot arribar a suposar.

Smishing (pesca per SMS): enviament de missatges SMS amb enllaços escurçats per extreure’t informació. Un exemple és enviar-te un SMS amb un enllaç per demanar-te el codi de doble factor d’un sistema com WhatsApp o instagram.

Ramsonware: es tracta també d’un correu electrònic, però a diferència del phishing, aquest inclou un adjunt o enllaç que està infestat de manera que en clicar entrarà un malware a dins de l’ordinador.

Un cas de ciberatac que s’ha estès molt en els darrers temps són els enganys a xarxes socials i whatsapp. El ciberdelinqüent es fa passar per la víctima per denunciar un suposat robatori del compte, després es fa passar per un contacte conegut per demanar el codi de verificació de WhatsApp que ha rebut la víctima i finalment el ciberdelinqüent valida el compte fent servir el codi de verificació i aconsegueix robar el codi de la víctima.

En temps de pandèmia, el frau digital s'obre camí

Durant el 2020 hi ha hagut un notable augment en el nombre de ciberatacs degut a la situació causada per la Covid 19 doncs la ciberdelinqüència s’aprofita de la por i la inseguretat per trobar noves oportunitats d’atac. A més, si els canals i serveis oficials es troben tancats, es fa encara més difícil poder identificar fonts fiables i acabem en circuits alternatius que moltes vegades són fraudulents.

D’aquesta manera la ciberdelinqüència ha aprofitat la situació d'excepcionalitat per obrar a través de les formes alternatives de pagament, el comerç electrònic, suplantació d’identitat de grans organitzacions i marques (per fer creure a la víctima que té operacions pendents), canvis econòmics sobtats (es fa creure a la víctima que ha obtingut un premi o un reemborsament) i enganys de relacions i entorns humans ( fraus en pàgines de cites, ofertes laborals falses).

Tot i que la ciberdelinqüència ha trobat noves oportunitats en la situació actual, també el sistema de ciberseguretat s’ha vist reforçat. En aquest sentit, els sistemes de pagament amb targeta han canviat des de gener de 2021 gràcies a la entrada en vigor de la normativa europea PSD2.

Aquesta fa que quan nosaltres volem fer una transacció electrònica per una compra per internet, l’empresa que ha d’acceptar la nostra targeta desconfia de nosaltres i per tant té l’obligació de preguntar-li al nostre banc si nosaltres tenim realment aquesta targeta operativa i ens envia un missatge informant-nos que estem intentant fer aquesta operació i verificar la transacció amb un codi. Aquesta verificació no té perquè donar-se si es tracta de transaccions habituals (la quota del mòbil, per exemple).

Amb l’aparició de nous mètodes de pagament també apareixen noves amenaces, és el cas del frau digital a través del Bizum.

En aquest cas, el ciberdelinqüent cerca informació de la víctima a través de les xarxes socials, li fa una trucada fent-se passar per un organisme oficial i se li explica que ha de fer una transferència via Bizum. S’envia un missatge de text a la persona estafada en què ha de clicar un enllaç per admetre la transacció, admetent així una transferència a favor del delinqüent. El problema de Bizum és que són transferències que no es poden revertir tot i que si que es regeixen per la normativa PSD2.

El jovent i la gent gran, els grans afectats

Els i les joves són un dels col·lectius més digitalitzats i, per tant, més exposats al frau digital. Segons un estudi fet per l’Agència de ciberseguretat de Catalunya, el 23% de les joves van admetre haver estat víctimes de frau digital. Com es tracta d’edats en les que no disposen de comptes bancaris, la majoria de frau està relacionat amb el robatori de credencials. La gran majoria del jovent, el 90%, sap que a Internet hi ha molts enganys. D’aquests, el 39% sap identificar quin tipus de frau fiscal es dona, el 50% els sap detectar a vegades i l’11% no n’és capaç.

Davant la creixent tendència de ciber assetjament i ciber bullyng entre infants i joves, una de les prioritats actuals de l'agència és garantir la ciberseguretat entre aquests col·lectius i per això capacitar els educadors i educadores amb competències digitals en matèria de ciberseguretat.

El web Internet segura ofereix recursos i recomanacions per apropar el concepte de ciberseguretat a la ciutadania, famílies, infants i joves, i educadors i educadores.

Amb aquest vídeo «Staying secure online» que va fer Enisa, l’Agència de Ciberseguretat Europea, es volia fer reflexionar a la gent jove sobre la informació vital que comparteixen a a les xarxes doncs és molt fàcil reconstruir el perfil d’una persona a través dels continguts que penja i arribar a la suplantació d’identitat.

Pel que fa al col·lectiu de gent gran és força habitual una estafa coneguda com Brushing. Tal com s’explica en aquest vídeo, es tracta d’una pràctica portada a terme per les empreses de logística que consisteix en enviar paquets falsos o no sol·licitats a les cases amb l’objectiu de posicionar un negoci en els grans mercats digitals a través de falses vendes. D’aquesta manera, una empresa de paqueteria que durant l’estiu no ha generat quasi bé activitat, enviarà paquets falsos per tal d’assolir els objectius d’enviaments.

#StopFrauDigital, una campanya per lluitar contra la ciberdelinqüència

L’Agència de Ciberseguretat Catalana va llançar al 2018 la campanya #StopFrauDigital-que no et donin gat per llebre per donar claus per identificar tipologies de frau digital i algunes recomanacions per disminuir-lo:

• Inicia sessió només quan la connexió sigui segura: si l’URL comença per https, les dades sortiran xifrades.
• Escriu l’url en comptes de clicar un enllaç
• Instal·la’t un antivirus
• Si vols transferir diners, no utilitzis wifi pública
• Verifica que les urls són segures i confiables: si cliquem el cadenat que hi ha al costat de la URL podem comprovar si aquesta està certificada, quina entitat ha emès el certificat i quina validesa té. Normalment les grans marques s’exigeixen que els certificats tinguin una validesa de màxim 1 any per augmentar-ne la protecció i, per tant, hauríem de desconfiar si no és així. D'altra banda, també podem mirar la localització doncs una organització local hauria de tenir un certificat de geografia propera.

Altres recursos que poden ser d'utilitat

Com hem vist anteriorment, els informes de tendències de ciberseguretat que publica l'Agència són eines que ens ajuden a saber què ha passat recentment en matèria de ciberseguretat i poder entendre com això ens pot afectar a futur.

Tanmateix, els seus informes de videoconferències mostren un anàlisi funcional comparatiu del tipus d'eines de videoconferència que poden ser utilitzades i el seu grau de protecció i seguretat. Un bon exemple és la que utilitzem a l'Oficina tècnica de la Xarxa Òmnia, radia.colectic.coop.

D'altra banda, la fundació.cat revisa i garanteix l'ús correcte del .cat, així com identifica els tipus d'atacs que es solen produir en aquests dominis per identificar si son utilitzats com a vectors d'atac i els ofereix protecció.

La web maldita és una bona eina per comprovar la veracitat de les informacions i detectar bulos.

També la web dels mossos té una secció dedicada a estafes i bulos de manera que podem trobar un històric d'atacs de ciberdelinqüència i comprovar si allò que hem rebut és una estafa. Aquesta informació també la podem trobar al seu canal de twitter.

Un altre recurs molt interessant és la web Haveibeenpwned a partir de la qual podem saber si la nostra persona digital ha patit algun tipus de ciberatac.