Más de 40% de los incidentes que maneja el Centro de Respuesta de Incidentes de la Agesic responden a ataques phishing, que significa que el usuario ingresa a una web falsa y sin darse cuenta brinda sus datos personales, como usuario y contraseña, los cuales son robados. La mejor manera para prevenirlo es el uso de dos vías de autentificación, que combinen algo que sabe con algo que tenga o lo identifique.
El director de Seguridad de la Información de la Agesic (Agencia del Gobierno Electrónico y la Sociedad de la Información y el Conocimiento), Santiago Paz, aseguró que detrás de un incidente no necesariamente hay una mala intención, sino que en muchos casos se dan errores de configuración o spam (basura informática). También sucede que el usuario cae fácilmente en sitios que no son seguros y brinda información personal voluntariamente porque no se dio cuenta que el sitio es falso.
Desde 2012, más de 40 % de los incidentes que maneja el Centro de Respuesta de Incidentes son desde 2012 de ataques de phishing en los que el usuario ingresa a una web falsa y sin darse cuenta ingresa sus datos, como usuario y contraseña, los cuales son robados. Ese tipo de ataques, tanto el phishing como el scam, utilizan sistemas de ingeniería social que son los que engañan al usuario para que éste haga algo, ya sea conectarse a una página web, brinde sus datos por mails, entre otros.
“Hay medidas tecnológicas que se pueden aplicar para reducir esa cantidad de incidentes pero es importante sensibilizar al usuario para que no caiga más en ese tipo de estafa”, aseguró Paz quien resaltó la campaña ‘Seguro te conectás’, que se lanzó por primera vez en noviembre de 2013 y que hace unas semanas se sumó el sistema financiero para generar conciencia en los usuarios sobre las transacciones financieras.
Esta campaña utiliza mensajes claros y positivos, no para alarmar sobre los peligros de Internet, pero sí para generar conciencia sobre los riesgos. Se dirige a todos los públicos usuarios de internet, brindando consejos sobre las acciones cotidianas, ya sea en el uso de cajeros automáticos, usos de claves, usos en redes sociales, etcétera, y presenta casos con problemas y soluciones de manera de corregir malos hábitos por parte de los usuarios.
Entre las buenas prácticas que promueve esta Dirección y que se refuerza a través de esta campaña se encuentra el evitar usar claves simples o por defecto, como 1111 o 1234. También se debe observarse la barra de direcciones para asegurarse que está ingresando a un sitio seguro.
Un sitio seguro es aquel que la URL comienza con ‘https’ y que puede corroborarse porque hay un candado previo a la dirección del sitio web. Esto es importante si se trata de un sitio al que se le van a ingresar datos personales, compras o cualquier transacción. También es recomendable hacer respaldos de los documentos para evitar perder la información mediante virus.
“El fin de la campaña no es asustar, sino tener conciencia sobre la percepción de riesgos”, aseguró Paz. Añadió que las acciones de seguridad le generan más trabajo al usuario porque le implica corroborar sus datos, o tener el celular con clave. Si bien tener clave en el teléfono es un trabajo extra para el usuario, es recomendable mantenerlo bloqueado porque hoy los teléfonos inteligentes tienen cargados no solo datos personales, sino también fotos, acceso a correos y aplicaciones, incluso aplicaciones financieras.
En esa línea, señaló que el doble factor de autenticación es la mejor opción para promover la seguridad de la información. Se trata de la combinación de tres elementos del usuario: algo que sabe, por ejemplo, una contraseña; algo que tiene, por ejemplo, una llave electrónica; o algo que el usuario es, por ejemplo, el uso de la huella dactilar para identificarlo.
Los mejores niveles de seguridad se consiguen combinando más de una de técnicas de autenticación y da la garantía que la identidad en internet no se puede robar a menos que se combinen esos dos elementos. En la mayoría de las plataformas el uso del doble factor de autenticación es gratuito, depende del usuario que quiera utilizarlo y que lo reclame como un derecho para protegerse.