Llegados a este punto, la seguridad en Internet puede parecer el unicornio más llamativo del mundo: seductor pero obviamente ficticio. ¿Cómo nos mantenemos a salvo cuando la amenaza está en todas partes? La mayoría de nosotros no podemos renunciar a nuestros teléfonos o a Internet y seguir con nuestras vidas. Entonces, ¿cómo nos protegemos?
El primer paso, aunque suene a cliché, es educarse, y educarse bien. Así que hemos traído a los peces gordos para que respondan a tus preguntas más habituales sobre ciberseguridad: Nick Stafford, Director de Seguridad de la Información, y Laura Smith, Vicepresidenta de Desarrollo Comunitario. Mira el podcast o lee la transcripción completa a continuación.
Desarrollar una mentalidad cibersegura
Si Stafford pudiera resumir todo lo que ha aprendido en el campo de la ciberseguridad, sería esto: Ponte el sombrero de papel de aluminio. Lleva bien puesta la sospecha. Los estafadores van detrás de todo el mundo. La única forma de estar seguro es sospechar, sobre todo cuando se trata de información financiera.
Si recibes un mensaje, una llamada, un correo electrónico o una alerta de Idaho Central Credit Union (o de cualquier otra persona) que te parezca mínimamente extraño, haz caso a esa sensación. Tu instinto a menudo sabe que algo no va bien antes que tu mente.
«Si no se parece a algo que esperarías de ICCU, en la mayoría de los casos será fraude».
¿Tienes un mensaje sospechoso de ICCU?
Si has recibido un correo electrónico sospechoso de ICCU, reenvíalo a abuse@iccu.com. Si es un mensaje de texto, haz una captura de pantalla y reenvíala allí también.
Denuncia las estafas aunque no estés seguro al 100%. Nuestros proveedores de servicios de seguridad analizan las amenazas para ver si son reales, y luego utilizan mecanismos avanzados para acabar con esos sitios y estafas dañinos. Al denunciar una posible estafa, puedes evitar que ese estafador se aproveche de otros en el futuro.
Lee: ¿Qué es la autenticación multifactor (AMF) y cómo puede proteger mi cuenta bancaria?
La forma más fácil de estar ciberseguro
Las formas más sencillas de aumentar tu seguridad en Internet son también las más eficaces. Stafford recomienda utilizar un gestor de contraseñas (como LastPass o 1Password) porque, de lo contrario, no podrás recordar la enorme cantidad de contraseñas que necesitas para mantenerte seguro en Internet hoy en día. Él, por ejemplo, tiene más de 450 contraseñas.
Piénsalo de este modo: No puedes garantizar al 100 por cien que tu información se mantenga a salvo, sobre todo porque el usuario medio de Internet tiene datos esparcidos por toda la red. Pero puedes reducir las probabilidades de que te pirateen, y puedes evitar absolutamente que causen daños irreparables, haciendo una cosa: utilizando contraseñas más exclusivas.
Si utilizas la misma contraseña para Facebook e ICCU, por ejemplo, y un ciberdelincuente roba tus datos de acceso a las redes sociales, acaba de dar un paso más para acceder a tu dinero. Pero si utilizas contraseñas únicas, sólo tus cuentas sociales pueden estar en peligro. Haz lo que puedas para mantenerte seguro, y te sorprenderá su impacto.
Lee:
Leer la transcripción
Laura: Hola y bienvenidos a Tu Balance Diario, el podcast en vídeo de Idaho Central Credit Union, donde estamos para ofrecerte consejos y trucos que te ayuden en tu camino hacia el éxito financiero. Octubre es el Mes de la Concienciación sobre la Ciberseguridad. Y estamos aquí para hablar con los mejores.
Nick: Eres demasiado amable.
Laura: Nick Stafford. Es nuestro Jefe de Seguridad en Idaho Central Credit Union. Hola.
Nick: ¿Cómo estás?
Laura: Bien. ¿Qué tal tú?
Nick: Oh, de vuelta un año más.
Laura: ¡Lo sé, esto es genial! Es nuestro primer episodio duplicado, pero siempre hay cosas nuevas. Así que tenemos que mantenerlo fresco.
Nick: Por supuesto.
Laura: Nick, háblanos de tu puesto en Idaho Central y de cuánto tiempo llevas aquí.
Nick: Sí. Soy el Director de Seguridad de ICCU. Esta función me permite gestionar la ciberseguridad y la seguridad de la información, así como la seguridad física. Llevo aquí algo más de tres años, y ha sido una experiencia fenomenal estar aquí en ICCU sirviendo a nuestros miembros.
Laura: Sí, y nos encanta tenerte porque esto es algo que nos tomamos muy en serio como cooperativa de crédito. Me refiero a la ciberseguridad. Muchas empresas se lo toman muy en serio, pero nosotros le dedicamos mucho esfuerzo, personal y recursos. Así que vamos a hablar de cómo mantenerte ciberseguro. Y una de las razones por las que haríamos un episodio duplicado es porque las cosas cambian constantemente, los estafadores evolucionan constantemente, así que queríamos hablar de qué cosas puede hacer la gente para mantenerse cibersegura.
Nick: Sí, ya sabes, lo primero de lo que siempre hablo con la gente es de llevar el sombrero de papel de aluminio. Todo el mundo se burla de la gente de ciberseguridad porque tienen ese estereotipo sobre nosotros. Pero todo el mundo necesita (tener cuidado) en la era digital. La razón es que los malos, los adversarios, los estafadores, van a por todos. Persiguen a todo el mundo indiscriminadamente. Realmente, la mejor manera de mantenerse a salvo es estar alerta, es desconfiar de todo lo que llega, sobre todo cuando se trata de tu institución financiera. Digamos que recibes un mensaje que parece ser de ICCU. La mejor forma de actuar es no hacer clic en ningún enlace; si tienes preguntas o dudas, llama o ponte en contacto con tu sucursal local.
Y hemos tenido informes de personas que decían algo como, ya sabes, He recibido este texto. Parece que podría ser algo de ICCU. ¿Qué debo hacer?
Sí. Y la respuesta es: usa mucho tu suspicacia. Si no parece algo que esperarías de ICCU, en la mayoría de los casos será un fraude. Si es algo incierto y no estás seguro, de nuevo, la respuesta correcta es llamar al Centro de Atención al Socio o acudir al Centro de Servicio de Vídeo o a una de nuestras sucursales. Ellos te ayudarán a identificar si ese mensaje es verdadero y real o no.
Y cuando dices que llames al VSC o al centro de llamadas, una de las claves, y he oído esto una y otra vez, es que vayas por tu cuenta, no vayas a través del texto o a través de la información que estás viendo, sino que vayas por tu cuenta al sitio web de Idaho Central Credit Union, y consigas ese número directamente de allí, ¿verdad? No des por hecho que pone contacta con nosotros y pienses Oh sí, voy a contactar con ellos.
Sí, es una captura importante. Llevas puesto tu sombrero de papel de aluminio, Laura, estoy impresionado. Una de las cosas que suelen hacer los estafadores es incluir su propia información de contacto en estos mensajes. Ya sea un enlace y un texto, o información de contacto en un correo electrónico. Lo mejor es que vayas al sitio de origen o directamente a iccu.com y te pongas en contacto con nosotros de ese modo, para asegurarte de que obtienes los números de teléfono y la información de contacto correctos. Porque muchas veces los estafadores ponen su propia información y eso forma parte de la estafa.
Y una de las otras cosas también, a nosotros, nos gusta que la gente informe de eso, ¿verdad?
Claro que nos gusta. De hecho, no es sólo que nos guste. Es una parte importante de nuestra tecnología de defensa. Lo que ocurre cuando un afiliado denuncia un mensaje abusivo o fraudulento, es que va a nuestra bandeja de entrada de abusos y se reenvía automáticamente a nuestros socios líderes del sector, que nos ayudan a eliminar los dominios y los sitios web en los que estos estafadores publican para robar las credenciales de nuestros afiliados. La denuncia es una parte muy importante de nuestra estrategia.
Sí. Y en Idaho Central, decimos a la gente que haga una captura de pantalla y la envíe a abuse at iccu.com ¿Es esa la mejor práctica?
Sí. Si es un correo electrónico, obviamente sólo tienes que reenviarlo a abuse@iccu.com. Si es un mensaje de texto, haz una captura de pantalla en tu correo electrónico y luego envíala a abuse@iccu.com, y nuestros proveedores de servicios podrán distinguir entre ambos y utilizar todos esos mecanismos para eliminar esos sitios web.
Bueno, eso son buenas noticias. Quería hablar un poco sobre los motivos de los estafadores. ¿Por qué lo hacen? Ya sabes, ¿qué hace que esto ocurra tanto?
Por supuesto. Realmente, la respuesta es dinero. Y en casi todos los casos el motivo es que los estafadores intentan ganar dinero. Puede haber algunos aspectos políticos, quizá ataques de tipo Estado-nación, pero eso no ocurre mucho con los miembros de instituciones financieras. En general, el principal ímpetu de estas estafas es que buscan dinero. Intentan que la gente les dé su información privada para poder utilizarla, darle la vuelta y monetizarla.
Sí. Creo que una cosa de la que la gente debería ser consciente es que hacemos muchas cosas por Internet, ¿verdad? Y, tenemos diferentes cuentas para todo tipo de lugares diferentes en los que compras cosas, lugares en los que investigas cosas, sea cual sea el caso. Hay tanta información ahí. ¿Cuáles son algunas de las formas en que la gente puede aumentar su seguridad en línea, o mejorar su seguridad en línea por sí misma? Porque en realidad son todas las pequeñas cosas, ¿verdad?
Lo es totalmente. Una de las primeras cosas que siempre aconsejamos a la gente es que utilice un gestor de contraseñas. Sólo para ilustrarlo, estaba en Google, mi gestor de contraseñas, uso Google, en uno de mis servicios para, algunas de mis funciones personales, y tengo más de 450 contraseñas almacenadas en Google. Es imposible que pueda recordar todas esas contraseñas.
No, la gente no puede recordar tantas contraseñas.
Yo no puedo. Puede que algunos sí puedan, pero yo no.
Y lo que suele ocurrir es que la gente tiende a reutilizar las contraseñas cuando no puede recordarlas todas. Como todos utilizamos docenas o cientos, quizá miles, de servicios en línea, esa contraseña puede reutilizarse muchas veces. Lo que acaba ocurriendo es que uno de esos servicios acabará siendo violado, entonces esas credenciales se perderán y se venderán en la web oscura. Hay servicios en la web oscura que permiten a la gente comprar violaciones de credenciales, e introducir esas credenciales. Esos servicios las probarán en 10.000 sitios web para ver en cuáles son capaces de entrar. Así que ése es uno de los medios por los que los malos pueden acceder a tu información. Y la respuesta más sencilla es que utilices un gestor de contraseñas que te ayude a gestionarlo.
¿Para que utilices contraseñas diferentes en todos tus sistemas?
Sí, diferentes contraseñas complejas.
¿Cómo encontrar un gestor de contraseñas? Quiero decir, sé que tú eres el experto. Así que, ya sabes, no sé cómo encontrar un gestor de contraseñas y cómo te aseguras de que lo utilizas correctamente. Y esto es más para cosas personales de las que estoy hablando.
Sí. No tenemos ninguno en particular que aprobemos. Existen varios gestores de contraseñas abiertos y gratuitos. Tanto Apple como Google los tienen. Todo el mundo tiene un teléfono móvil, así que suelen ser los más fáciles para empezar. Existen gestores de contraseñas más complejos que te permiten compartir contraseñas entre distintos grupos de personas, por ejemplo, en el trabajo. Ésas son versiones comerciales y también existen muchas. En realidad, creo que los gestores de contraseñas con los que la mayoría de la gente se asocia son los que están disponibles en sus teléfonos móviles.
Otro tema del que deberíamos hablar es el control de tarjetas. A veces pensamos en el control de tarjetas como algo que nos informa cuando pasamos la tarjeta y cosas así, pero eso puede ser un gran elemento disuasorio del fraude, ¿verdad?
Por supuesto. Es decir, es agradable poder saber cuándo se utiliza tu tarjeta y, y la otra gran parte de ello también, es poder, en caso de que pienses que tal vez has perdido tu tarjeta o que puede haber sido robada o comprometida, tienes al alcance de la mano la capacidad de entrar y gestionarla casi instantáneamente sin tener que esperar en línea.
Sí. Y es rápido. Es decir, cuando pasas tu tarjeta, en tu teléfono o en tu reloj o dondequiera que lo tengas configurado, recibes esas alertas y te dice: «tu tarjeta fue pasada en XYZ lugar».
La mejor forma de saber que eres tú.
Sí. Y si no fueras tú… Quiero decir, eres consciente.
Sí, eres consciente, y ser consciente es realmente la mitad de la batalla, ser consciente de ello es la mitad. Y luego, hacer lo correcto es la otra mitad. Controlar las tarjetas y recibir esas notificaciones puede ser una forma muy, muy fuerte de conocer tus finanzas, y ya sabes, de saber qué está pasando con tus cuentas.
Sí. Y que has autorizado a que esas cosas sucedan.
Exacto.
Otra cosa es el Control de Tarjetas. Si alguna vez ves algo que no está bien, puedes apagar la tarjeta y llamarnos inmediatamente.
Exacto. Y esa es la otra gran ventaja, que lo tienes al alcance de la mano. No tienes que esperar. No tienes que conectarte o, ya sabes, especialmente si estás de viaje, por ejemplo en zonas horarias diferentes. Está todo disponible, al alcance de tu mano.
¡Y es gratis!
¡Y es gratis! Sí, todo forma parte de ser miembro de ICCU.
Sí. Es increíble. Otra cosa que debemos mencionar aquí es Mi Crédito. Cuando hablas de fraude o de cosas que podrían ocurrir. Si estás vigilando tu informe de crédito y asegurándote de que las cosas que aparecen ahí son cosas que tú has autorizado.
Sí, una de las cosas más poderosas que puedes hacer para protegerte es asegurarte de que entiendes lo que está pasando con tu crédito. Es justo decir que la identidad de todo el mundo se ha visto comprometida en múltiples ocasiones, donde ha habido docenas y docenas y docenas de violaciones, ya sabes, a lo largo de los últimos 25 años. Es muy probable que nos hayan robado la identidad. Así que lo mejor es asumir que tu identidad está ahí fuera en varios repositorios diferentes y en la web oscura. Una de las mejores formas de protegerte es simplemente estar atento y observar. Asegúrate de que entiendes, ya sabes, lo que ocurre con tu crédito. Y si ves que aparece algo que no has configurado, es una buena señal de que tienes que ocuparte de ello inmediatamente.
Sí. Hemos hablado de los gestores de contraseñas, pero ¿qué pasa con la autenticación multifactor? AMF.
Oh, la gran palabra friki, sí.
Cierto. Sé que tuve que practicar esa palabra hace varios años. Quiero decir que es una gran palabra, pero hablemos de lo que significa la autenticación multifactor y de cómo la gente puede utilizarla para protegerse realmente.
Así pues, el concepto es que en la autenticación de factor único, tienes un ID de usuario y una contraseña. Eso es un único factor. Es todo lo que tienes. En la autenticación multifactor, tienes otro factor más. Y ese factor suele ser «algo que tienes». Así que si piensas en las formas más potentes de autenticación multifactorial, lo llamamos «algo que sabes», que es una contraseña, y luego «algo que tienes», que puede ser un teléfono o un token o un llavero. Son medios muy potentes de autenticar a alguien.
Otra de las cosas que recomendamos a todo el mundo es que el MFA esté activado en casi todas partes. Especialmente en todos los sitios en los que sea importante. Lo que muchos no hacen es activar la autenticación multifactor en su correo electrónico. Pero, curiosamente, tu correo electrónico es muchas veces el lugar al que puedes ir para restablecer una cuenta de tu banco, tu institución financiera, tu plan de pensiones o cualquiera de tus servicios minoristas. En muchos casos, si se trata de «He olvidado mi contraseña», ese enlace de restablecimiento de contraseña se envía a tu correo electrónico. Así que, si tu correo electrónico no está bien protegido, ése puede ser el medio por el que los estafadores se cuelen en muchas otras áreas.
Así que es importante que te asegures de que todas tus contraseñas están seguras en todos esos lugares.
Absolutamente.
Sí. Vamos a ver. Hablemos de nuevas estafas que la gente debería conocer. ¿Hay algunas cosas que, ya sabes, están ahí fuera?
Creo que lo que hemos visto realmente en el último año y medio es una transición bastante significativa de las estafas de phishing por correo electrónico, que son bastante tradicionales, a las estafas de phishing por texto. Y tiene mucho sentido, ya sabes, los estafadores buscan el camino de menor resistencia. Buscan lo que les dé más clics. La mayoría de la gente no presta tanta atención a su correo electrónico como a sus mensajes de texto. Por eso, muchas organizaciones han empezado a enviar mensajes de texto para actualizaciones a las que es importante que la gente se suscriba. Así pues, los estafadores están siguiendo su ejemplo y están empezando a enviar una parte significativa de sus mensajes fraudulentos a través de un mensaje de texto. En realidad, lo que intentan es obtener una respuesta emocional. Intentan que alguien tenga miedo de que esté ocurriendo algo malo.
En casi todos los casos con una entidad financiera, el mensaje dirá que ha ocurrido algo malo y que tienes que hacer clic en este enlace ahora para solucionarlo. Y ahí es donde volvemos a ponernos ese sombrero de papel de aluminio. Sé hipervigilante, sospecha de todo. Si recibes mensajes de este tipo, es muy probable que se trate de un fraude. Así que, si es algo de lo que no estás seguro, ponte en contacto con nosotros porque podemos ayudarte a filtrarlo.
Y algunos otros consejos que he oído por el camino son, ya sabes, si hay cosas que están mal escritas, si hay enlaces raros que no parecen correctos, si está intentando que hagas algo rápidamente o que tengas miedo de alguna manera, esas son también otras tácticas que se utilizan en estas estafas también, porque te hace sentir como, mejor salto sobre esto ahora mismo antes de tener la oportunidad de pensarlo bien.
Sí. Todavía se ve mucho de eso. Aunque con la IA, con Chat GPT, por ejemplo, la mensajería se ha vuelto mucho más eficaz, lo creas o no. En muchos casos, la mensajería estaba escrita por personas, por ejemplo, que tenían el inglés como segunda lengua. Así que el inglés era un poco entrecortado. Era un poco más fácil de identificar. Ahora eso es un poco menos así. Los mensajes son cada vez más claros y eficaces. Pero lo que tiendes a ver todavía, cuando vas a esos enlaces, es que en realidad no son el sitio de ICCU. Será algo como bobshamburgers.com/iccu . Obviamente, eso te indica que estás entrando en un sitio fraudulento y que deberías dejar de hacerlo.
Eso es lo que iba a decir. Si has hecho clic en algo, porque obviamente lo primero es parar, no hagas clic, no actúes. Pero si lo haces, tal vez pienses: «Oh tío, eso parece un buen -clic- Oh cielos. esto está mal. No debería estar aquí». ¿Qué haces entonces? ¿Qué haces para echarte atrás?
Bueno, el primer paso es que, en muchos casos, sólo con hacer clic en ese enlace, has indicado a los estafadores que es probable que hagas clic en los enlaces. Porque enviarán a cada individuo enlaces únicos para saber quién es probable que haga clic y quién no. Así que sé hipervigilante al avanzar, seguro. Pero en la mayoría de los casos, si no has introducido nada, si no has introducido tus credenciales, estás a salvo. Si has introducido tus credenciales, entonces es probable que consideres que tus credenciales están comprometidas. Deberías entrar y cambiar tu ID de usuario y tu contraseña y, a continuación, ponerte en contacto con tu institución financiera, con ICCU o con la entidad para la que hayas introducido las credenciales, para asegurarte de que todo lo demás está en orden. Esos serían los pasos: Asegúrate de que cambias tu contraseña inmediatamente, y luego ponte en contacto con tu institución financiera.
Sí. ¿Hay alguna otra actualización o algún otro dato que creas que la gente necesita saber, o hemos dado un golpe muy fuerte hoy?
Creo que hemos dado en el clavo. Dios, creo que, ya sabes, lo más importante de lo que quiero asegurarme de que todo el mundo es consciente es de que ésta es una época en la que tenemos que estar hipervigilantes. Los estafadores son cada vez más eficaces en su forma de comunicarse y de intentar engañar a la gente. En nuestro mundo lo llamamos ingeniería social. Como resultado de ello, los ciudadanos van a tener que ser más eficaces y más sofisticados a la hora de comprender qué aspecto tiene eso para poder distinguirlo de los mensajes buenos y sanos. Ése es siempre el equilibrio con el que jugamos en este espacio.
Y no es algo que deba asustar a la gente. Sólo deben ser conscientes de ello.
Por supuesto. La realidad es que el mundo digital es un lugar seguro para nosotros. ICCU está ahí. Llevamos mucho tiempo ahí y protegiendo a nuestros miembros. Sabes, realmente las cosas más importantes, como la electricidad o jugar con sierras de cinta, sabes cómo utilizarlas con seguridad y estarás bien. Es cuando no tienes cuidado y cuando no estás atento, cuando no sospechas, cuando no estás vigilante, cuando tiendes a correr el riesgo de lesionarte.
Muchas gracias, Nick. Creo que ha sido muy útil. Realmente ha repasado algunas formas en las que podemos protegernos y estar atentos a las cosas que podrían venir hacia nosotros.
Para más información, visita nuestro centro de seguridad en iccu.com/security.
Y no olvides suscribirte a nuestro canal para recibir notificaciones de futuros episodios. Gracias por acompañarnos. Hasta la próxima.
