Com podem millorar la nostra privadesa i seguretat a la xarxa?

La nostra vida i relacions socials estan cada cop més digitalitzades. Com a persones i com a societat cal que tinguem garantides unes seguretats bàsiques en l’àmbit digital, tal com succeeix en els àmbits convencionals no digitals.

Al llarg dels últims anys els atacs digitals han augmentat exponencialment, i la ciberdelinqüència està més activa que mai. Tot i que tenen més ressò mediàtic els atacs a grans empreses i institucions públiques, també en són víctimes, organitzacions de tota mena i particulars.

Si bé podem trobar que certs atacs no busquen un benefici econòmic immediat (poden tenir des de connotacions polítiques, lúdiques, o de prestigi entre els mateixos hackers), gairebé sempre busquen un benefici econòmic. Mitjançant per exemple l’extorsió, ens poden demanar un pagament en forma de bitcoins (garanteixen l’anonimat del destinatari) per restituir o tornar les dades hackejades.

El 2021, per exemple, la Universitat Autònoma de Barcelona (UAB) va patir un greu atac informàtic mitjançant un programari maliciós que va afectar més de 650.000 arxius i carpetes. Es tracta de segrestar tota la informació d’una institució, xifrar-la i exigir un rescat per alliberar-la. Aquest ciberatac de segrest, conegut com a ransomware, també va tenir un cas destacat a l’Hospital Clínic de Barcelona. Els atacants informàtics desenvolupen virus específics per fer-se amb les dades sanitàries dels pacients, de les que poden treure un alt benefici en determinats mercats negres vinculats a la salut, tot vulnerant la privacitat de les persones. O pagues, o aquesta privacitat quedarà vulnerada, i el prestigi de la institució seriosament afectat. Amb la irrupció del ChatGPT, més de 100.000 comptes d’usuaris d’intel·ligència artificial han estat hackejades en els seus pocs mesos de vida…

En definitiva, el volum de ciberatacs diaris al món és molt gran. Us en podeu fer una idea a través del portal Digital Attack Map. Si hi accediu podreu consultar un mapa interactiu que permet veure en temps real els atacs que tenen lloc ara mateix a tot el món, el seu origen i el seu destí.

Per tal d’evitar els perills més freqüents a la xarxa, tot seguit veurem com podem detectar-los millorant la nostra seguretat aturant l’atac a la primera etapa. En algunes de les propostes compartirem les recomanacions de l’expert en ciberseguretat i soci de Som Connexió, Genís Margarit.

Com detectar els enganys

La primera causa d’incidents de seguretat és el phishing o pharming (la suplantació d’identitat d’una marca) que acostuma a presentar-se en forma de correu electrònic, SMS, WhatsApp o trucada de veu. Sovint se suplanta la identitat d’organismes oficials o entitats bancàries per accedir a les nostres dades.

Alguns exemples que s’utilitzen com arguments són:

• Problemes de caràcter tècnic.
• Deteccions de fraus.
• Noves recomanacions de seguretat.
• Canvis en la política de seguretat de l’entitat.

Hi ha diferents tipus de phishing:

• A través de missatge de text, tenim l’anomenat SMSishing. Normalment, fingeixen ser empreses de missatgeria o proveïdors que demanen fer clic a un enllaç el qual descarregarà un programari maliciós que accedeix a les nostres dades i/o bloqueja el nostre mòbil. 
• Els que s’envien per correu electrònic amb l’objectiu de descàrrega d’un malware o perquè es comparteixi informació personal.
• Vishing: frau amb una trucada telefònica.

En aquestes tècniques en concret, existeixen tres fases. La primera és l’engany, la trampa. La segona és l’obtenció de les dades, que es produeix un cop la víctima cau en l’engany. La tercera i definitiva és la consumació, que és quan es produeix el perjudici a la víctima, en forma principalment de danys econòmics.

La primera defensa contra un possible frau és el nostre sentit comú i la nostra perspicàcia. Però, com prevenir-nos de l’engany? Els següents són alguns dels punts clau a tenir en compte:

• Confirmar amb les fonts oficials abans de donar validesa a un missatge o correu electrònic.
• Fer una cerca a internet per veure si ja s’han donat altres casos. Els estafadors tendeixen a reproduir tàctiques que els han funcionat anteriorment.
• Comprovar el correu electrònic des del qual s’envia.
• Revisar l’ortografia i gramàtica (sovint tenen moltes faltes d’ortografia o són traduccions mediocres d’un altre idioma).
• Evitar sempre clicar en enllaços.
  
  En el cas que siguem víctimes d’un atac de phishing, cal que:
• Denunciem el cas a l’Agència de Ciberseguretat de Catalunya o a les autoritats competents de l’Estat espanyol: Institut Nacional de Ciberseguretat (INCIBE). 
• Comprovem si tenim sessions obertes de correu electrònic a altres dispositius i tanquem-les.
• Bloquegem la targeta bancària i comprovem si hi ha algun càrrec indegut.
• Canviem les claus d’accés a la informació més vulnerable al més aviat possible.

Com millorar la contrasenya?

En el nostre dia a dia digital, tot el que gestionem necessita un nom d’usuari i contrasenya. Però, tot i això, hi ha una tendència a utilitzar contrasenyes ben comunes. Encara que sigui imprudent recorrem sovint a contrasenyes tipus “password1995” o “harrypotter1982” on a més les xifres són la nostra data de naixement… Ens facilita tant a nosaltres mateixos recordar-les com als hackers descobrir-les.

Tot i que és recomanable canviar la contrasenya cada sis mesos, segons paraules d’en Genís Margarit “als ciberdelinqüents els importa ben poc que generem una nova contrasenya cada cert temps”. Per protegir-nos de manera fiable, el més efectiu és deixar d’assignar-nos nosaltres les contrasenyes i començar a fer servir un gestor de contrasenyes. “Si algú de nosaltres es compra un cotxe, la fàbrica de cotxes li demana que es fabriqui la clau per obrir el cotxe? Oi que no?”, sentencia l’expert.

Els gestors de contrasenyes permeten generar contrasenyes de forma aleatòria, segura i encriptada. La principal recomanació de l’expert en ciberseguretat és KeepassXC.  Tanmateix, a l’Oficina de Seguretat de l’Internauta (OSI) podreu trobar diversos gestors de contrasenyes gratuïts.

Per saber si la nostra contrasenya ha estat filtrada, es poden fer servir eines com Have I been pwned?.”Si introduïu el vostre compte i el resultat surt en color verd, vol dir que heu sigut afortunats i afortunades i el compte de correu no s’ha vist afectat. Si el resultat és vermell, us dirà en quina data i en quins llocs web heu perdut la contrasenya. És interessant provar amb els correus electrònics de la família, i si surten en vermell, avisar-los i recomanar-los renovar la contrasenya”, comenta en Genís Margarit.

Com protegir-se dels virus i els malware

Malware o programari maliciós és el terme que s’empra per a qualsevol mena de programari que té l’objectiu d’envair, danyar o desactivar qualsevol dispositiu informàtic. Pot robar, xifrar, esborrar les nostres dades o bé espiar-nos. Hi ha diferents tipus de malware: l’spyware, el virus, els cucs, troià, ramsonware, MitM (Man-in-the-Middle),…

El virus, per tant, és un dels diferents tipus de malware i consisteix en un segment de línia de codi que altera el funcionament normal de l’ordinador sense el permís de la usuària o usuari.

Quin és el millor antivirus? És una pregunta a la qual ha de respondre sovint en Genís Margarit. “No ho sé perquè n’hi ha molts, però cap és infal·lible”, comenta. El que recomana, però, és utilitzar a més de l’antivirus, eines com Virustotal, una plataforma gratuïta que inclou 55 antivirus i 61 motors de detecció en línia, a través de la qual avaluar i escanejar fitxers i pàgines web.

Com sabem que hem sigut infectats per un malware?

• El dispositiu va més lent de l’habitual.
• Apareixen anuncis emergents.
• El disc dur perd capacitat.
• La pàgina d’inici del navegador canvia. 
• El ventilador de l’equip funciona a tota velocitat.
• L’antivirus no funciona.

Mesures de prevenció:

• No fer ús de pàgines web no segures.
• No fer clic als enllaços sospitosos.
• Instal·lar un antivirus.
• Actualitzar l’antivirus.

 Si els nostres dispositius han estat infectats, què hem de fer?

• Una anàlisi amb l’antivirus i intentar eliminar el malware.
• Posar l’arxiu infectat en quarantena per desinfectar-lo quan s’actualitza l’antivirus.
• Instal·lar un antivirus més potent per protegir-nos el millor possible dels virus informàtics.

Com protegir el meu mòbil

Molt sovint, quan pensem en ciberatacs i virus, pensem en ordinadors, i, en canvi, és el mòbil allà on guardem la informació més sensible. Els delinqüents ho saben, i és per aquest motiu que cal, de totes totes, posar el focus sobre la seguretat en els nostres smartphones.

Com posar uns quants entrebancs als ciberdelinqüents amb unes poques intervencions senzilles en el nostre dispositiu?

• Protegir la geolocalització del mòbil. Al mòbil hi tenim activada la geolocalització i cada cop que utilitzem alguna eina que la té activada, aquella eina recull on som i aquestes dades queden a l’abast de tothom.
• Només instal·lar aplicacions oficials del mercat o d’empreses programadores amb referències.
• Desconfiar de les xarxes Wi-Fi públiques i gratuïtes.
• Anar amb compte amb el phishing a través d’SMS, correu o trucades telefòniques.
• Instal·lar antivirus.
• Guardar el número IMEI.
• Mantenir el Bluetooth desactivat, si no és necessari.
• Activar sistemes de cerca de mòbil, en cas de pèrdua o robatori.
• Bloquejar la pantalla amb empremta o codi.

I fins aquí, les recomanacions d’autodefensa digital que volíem compartir amb vosaltres. Esperem que us hagin estat d’utilitat. L’estiu és un bon moment per no abaixar la guàrdia i fer un repàs de com millorar els nostres hàbits digitals. El món de la ciberseguretat és molt ampli, i us fem una crida a estar atentes i atents als pròxims articles on ben segur aviat tornarem a tractar aquest tema.

Potser ara t'interessa