Cuando buscamos algo en Google, subimos una foto o enviamos un mensaje, estamos diciendo quiénes somos, qué nos gusta y en qué pensamos. Muchas veces aceptamos a pie juntillas las cookies, los permisos y todo botón que se interponga en nuestro camino mientras usamos una aplicación o nos damos de alta en un servicio digital. Creemos que no tenemos nada que perder, pero la realidad es que somos más vulnerables de lo que sospechamos.
Todos podemos ser víctimas de un ciberdelincuente y, en esta ocasión, la periodista que escribe esto no narra el testimonio de otras personas, sino que pasa a ser la fuente de su propia información para contar en primera persona cómo fue hackeada mientras escribía -paradojas del destino- un reportaje para el Día de Internet Segura sobre la privacidad de los datos y el uso de estos en la web oscura, y qué medidas ha llevado a cabo para evitar que vuelva a pasarle.
Yo también pensaba que nunca me pasaría, que el robo de una cuenta personal o de un perfil solo le ocurre a gente famosa, con dinero o a personas más descuidadas -como si alguien fuera pregonando sus contraseñas o dónde vive por redes sociales o en la mesa de un bar- y siempre me decía que a quién le iban a interesar lo más mínimo mis datos. Me equivocaba, y mis datos acabaron en la dark web.
La dark web o la red oscura, ese espacio encriptado que algunos llaman las profundidades de internet y que alberga todo tipo de información sobre todos nosotros: correos, datos bancarios, teléfonos, fotos, ubicaciones, gustos… Los ciberdelincuentes quieren hacerse con el mayor volumen de datos posible para venderlos en este mercado sin límites al mejor postor, donde las cuentas hackeadas de redes sociales se consiguen por entre 30 y 60 euros cada una.
Una campaña de la Oficina de Seguridad del Internauta (OSI) cifra en unos 315 euros el valor en la dark web de un registro médico, uno de los datos más sensibles y también más demandados. En la lista, cifran en 30 euros el precio de los datos bancarios, se venden desde cinco euros los documentos de identidad como DNI o pasaporte y también por ese precio se pueden encontrar cuentas en redes sociales y correos electrónicos. Nuestros vídeos y fotos se venden desde un euro.
Ruth García, experta del Instituto Nacional de Ciberseguridad (INCIBE), explica que cuando un ciberdelincuente quiere poner en marcha un fraude, por ejemplo, haciéndose pasar por una tienda online que vende entradas de música, envía correos indiscriminadamente a todos los contactos de la persona a la que suplanta. Y muchas veces, para que el número de personas que hagan clic en el enlace fraudulento sea mayor, los piratas informáticos tienen identificados aquellos usuarios cuyos gustos e intereses encajan con el engaño.
¿Cómo acceden los ciberdelincuentes a nuestros datos más personales?
Basta con que el ladrón acceda a una de nuestras redes sociales o aplicaciones de compra online y ya tendría acceso a todas nuestras fotos, historial de navegación, comentarios, mensajes privados, ubicaciones y también a esos datos que añadimos para completar nuestro perfil -como la edad, el correo, la tarjeta de pago e incluso a veces el DNI o la dirección física- que generalmente permanecen ocultos al resto de usuarios. En mi caso, los correos masivos a mí y a mis contactos llegaron después del hackeo.
¿Cómo consiguieron mis datos? Fue a través de mi página web personal. Llevaba un par de meses sin actualizar ni borrar el spam que a ella llegaba y aprovecharon para infectarla. Una vez la limpié de toda clase de comentarios y “bichitos”, empezó el infierno: operaciones bancarias en mi nombre, cuentas a las que ya no tenía acceso, vídeos en YouTube fraudulentos, reproducciones en Spotify desconocidas y actividad inusual en todas mis redes sociales.
El ciberdelincuente, con alias "Baraka" -bendición en árabe- llegó hasta el panel de control donde había alojado la web y aprovechó para quitarme todo acceso. Empezó contratando servicios en mi nombre, cambió mi contraseña y, por último, el correo. Todo esto ocurrió en apenas cinco minutos y de madrugada. Al día siguiente, entré en pánico: cómo podía estar escribiendo sobre ciberdelitos y ser víctima de uno. Este incidente solo demuestra lo que ya nos decían los expertos: con la privacidad no se juega.
Ante un problema como este, Ruth García recomienda que nunca perdamos de vista las actualizaciones, tanto de sistemas como de aplicaciones y servicios. Son muy importantes porque no solo ofrecen mejoras en el servicio, sino que también resuelven fallos de seguridad y, si no se actualizan, pueden utilizarse para colarse en nuestros datos e invadir nuestra privacidad (tal y como me pasó).
Fue un hackeo por "fuerza bruta", es decir, el pirata conocía mi dirección de correo electrónico y utilizó un sistema diseñado para probar combinaciones de palabras y contraseñas. En estos casos, como era una contraseña relativamente sencilla y fácil de recordar, pudo forzar la entrada y adivinar esa contraseña en la que yo tanto confiaba.
Técnicas como esta son más habituales de lo que pensamos. Así, en 2021, el INCIBE reportó más de 109.000 incidentes que incluyeron todo tipo de ciberdelitos: fraude; malware o infección de equipos; contenido abusivo como spam, comentarios ofensivos o incitación a la violencia y/o delitos sexuales; o intrusión en cuentas privadas.
En otras ocasiones, quizás incluso más habituales, el hackeo empieza con un correo o un SMS en el que el autor del fraude busca provocar la acción rápida del receptor. El objetivo, en palabras de la experta del INCIBE, es conseguir información confidencial del usuario haciéndole creer "que tiene algún problema o que necesita tomar una acción de manera inmediata, porque si no va a tener alguna consecuencia o le va a ocurrir algo a su cuenta". Esta técnica fraudulenta se conoce como 'phishing'.
"También muchas veces utilizan excusas como el 'hemos cambiado nuestras políticas de seguridad, si no accede a este enlace de manera inmediata su cuenta no estará protegida'. En el caso de un antivirus son muy frecuentes los mensajes de 'hemos identificado que su dispositivo está infectado, accede a este enlace para descargar una herramienta' y eliminar la amenaza", puntualiza.
Fernando Tricas, experto en Informática e Ingeniería de Sistemas en la Universidad de Zaragoza, señala que generalmente el fraude ocurre cuando alguien baja la guardia por querer resolver un asunto demasiado rápido: "Nos llega un SMS de apariencia creíble y resulta que es falso, pero caemos porque nos pilla en un momento en el que estamos pensando en otra cosa".
Yo ya sabía que no hay que hacer clic en todos los enlaces que me llegan ni abrir los documentos que no reconozca, pero, ¿y si mi antivirus me envía un correo de alerta de que mis datos han sido filtrados a la web oscura? Yo caí y no soy la única.
"Falsear el remitente tanto de correos electrónicos como de SMS es técnicamente posible y es en lo que [los ciberdelincuentes] se apoyan", puesto que pocos usuarios son conscientes de ese peligro" ni saben cómo comprobarlo, explica Ruth García.
¿Cómo evitar que te roben los datos y navegar seguro en internet?
Fernando Tricas me sugirió que usara tarjetas virtuales para realizar compras online, además de comprar solo en sitios consolidados y con una amplia trayectoria en la red. Otra recomendación del experto fue que tuviera un dispositivo solo para comprar y proporcionar información sensible y que también separara los dispositivos de trabajo de los de ocio -ver series y películas o jugar a videojuegos-. De esta forma, mi información sensible estará más fragmentada y será más fácil evitar y paliar los efectos de un ciberataque.
Los expertos coinciden en que tenemos que usar el "modo incógnito" tanto en el ordenador como en el móvil y que no aceptemos las cookies por defecto, sino que las bloqueamos. Otras medidas claves que me sugirió Elena Davara, doctora en Derecho y experta en privacidad, para evitar futuros ataques son: mantener el software actualizado; activar el bloqueo a distancia y el borrado automático en caso de robo o pérdida; usar contraseñas robustas y diferentes para cada servicio; y no conectarse nunca a una red wifi pública.
Algo muy importante que aprendí tras este incidente es que es conveniente borrar todos los datos del navegador periódicamente: datos de navegación, historial y también contraseñas guardadas para autocompletar campos de inicio de sesión. En mi caso tenía guardadas casi 480 credenciales de acceso (nunca las había borrado) y todas ellas quedaron vulneradas y expuestas cuando me atacaron.
Además, es muy importante activar la autenticación de doble factor o la verificación en dos pasos para que cada inicio de sesión se haga desde una vía de la que seamos los únicos con acceso. Sin embargo, una vez activada no se acaba el peligro, tienes que cerrar la sesión en todos los dispositivos, incluido tu móvil y ordenador (muy importante).
De esta manera, como cada vez hay más aplicaciones que facilitan el inicio de sesión con otras cuentas como Google o Facebook, forzarás al ladrón a salir de tu cuenta y ya no podrá acceder automáticamente a aplicaciones como YouTube, Spotify, Twitter, LinkedIn, Airbnb, Amazon y muchas más donde tus datos pueden verse comprometidos.
La experta del INCIBE, Ruth García, señala que el ciberdelincuente solo podría superar la doble verificación si hubiera instalado una aplicación maliciosa en el dispositivo o si se hubiera hecho pasar por un conocido para instar a la víctima a descargar la aplicación concreta o hacer clic en el enlace. La doble verificación es un mecanismo muy efectivo y aunque puede haber quienes consigan pasarla por alto, esos casos no son los más habituales.
Tanto si quieres aprender cómo mantener tus cuentas más seguras como recibir asesoramiento sobre cómo actuar tras ser víctima de un ciberataque, el INCIBE tiene habilitada la línea 017, un teléfono confidencial y gratuito. Llamando a ese número, serás atendido y un operador te ayudará a recuperar el control de tus datos y te enseñará a evitar que vuelva a pasarte. A mí me ayudaron mucho.