Para evitar este tipo de ataques debemos recordar recomendaciones básicas pero efectivas, como idear contraseñas robustas y difíciles de descifrar
Según han reconocido desde Sony, durante las últimas semanas se han visto expuestos datos como: nombre, dirección, correo electrónico, fecha de nacimiento, usuario de PlayStation Network, contraseña y, quizá lo más preocupante, datos ligados a las tarjetas de crédito de sus clientes.
A pesar de que la compañía japonesa asegura no tener evidencias de que los datos bancarios hayan sido utilizados por ahora, sí recomienda controlar los movimientos de las cuentas que se hayan podido ver involucradas, así como cambiar las contraseñas de acceso y las de cualquier otro servicio donde se estén utilizando esas mismas contraseñas.
Según expertos en el área de sistemas y seguridad del Instituto Tecnológico de Informática (ITI) de Valencia, este tipo de ataques nos recuerda que, para aumentar su seguridad, el usuario debe ser más consciente de la importancia que tiene seguir unas recomendaciones básicas que, a pesar de ser conocidas, no siempre son llevadas a la práctica.
Además de no utilizar contraseñas compartidas en diferentes servicios, no se debe olvidar la necesidad de emplear contraseñas robustas, que cumplan la mayor parte de los siguientes puntos:
- Longitud mínima de 8 caracteres.
- Utilizar todo tipo caracteres: intercalar letras combinando mayúsculas, minúsculas, números y símbolos del teclado (todos los que no se definen como letras o números) y, en caso de estar permitido, incluir espacios.
- Y, sobre todo, no se debe emplear el nombre de usuario: su nombre real o el de la empresa, ni cualquier otra información fácilmente deducible.
Sony también ha recomendado a sus usuarios que estén pendientes de posibles llamadas telefónicas o correos electrónicos en los que se les solicite información personal o de carácter sensible para protegerse de un tipo de ataque conocido como ingeniería social.
Dentro de este grupo, el ITI destaca el más conocido: el phishing o suplantación de identidad. Se trata de estafas que suelen emplear mensajes de correo electrónico o sitios web fraudulentos con los que se intenta obtener información personal.
Por ello es fundamental no revelar información de carácter personal ni por correo electrónico ni por teléfono, a no ser que estemos completamente seguros de a quién se está proporcionando estos datos y con qué propósito van a ser utilizados. Y, por supuesto, no darlos si no los consideramos necesarios para recibir el servicio solicitado.
¿Cómo funciona el phishing?
La forma más conocida de este tipo de ataque es el envío de correos electrónicos en los que se indica que se debe proporcionar cierta información personal a través de un web a la que se accede mediante un enlace o URL que se ofrece en el propio correo. Al pinchar en dicho enlace, se entra en una página web que imita a la de la entidad que suplanta (normalmente suele ser la de un banco), en la que aparece un formulario en el que se solicita información personal.
En este caso, se recomienda acceder a la web escribiendo en el navegador la dirección real o URL del sitio y no pinchar directamente en el enlace. Aunque lo principal es tener en cuenta que las entidades o empresas no suelen enviar este tipo de correos solicitando información personal como contraseñas o números de tarjetas bancarias.
De recibir este tipo de correos y sospechar que se trata de un ataque de tipo phishing se recomienda denunciar el incidente, adjuntando el correo recibido o el enlace a la web desde donde se intenta robar los datos a organismos como el Grupo de Delitos Telemáticos de la Guardia Civil, el Equipo de Respuesta a Incidentes de Seguridad Informática o el Centro Criptológico Nacional.
- La propia compañía que se pretende suplantar.
Protección de datos
En España, la Ley Orgánica 15/1999 de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) ayuda a prevenir la fuga de información de carácter personal. Esta ley es de obligado cumplimiento para las empresas e instituciones que dispongan de datos de carácter personal, y les exige implantar medidas técnicas y organizativas para garantizar la seguridad de la información.
Según la LOPD, las empresas solo deberían solicitar aquellos datos de carácter personal que sean imprescindibles para la prestación del servicio, limitando al mínimo la información solicitada y, por tanto, otorgando una mayor protección. Además, los usuarios tienen derecho a saber por qué, para qué y cómo van a ser recopilados sus datos y decidir sobre su uso.
En su quinto artículo, la LOPD e indica: que “los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco”. De ahí que, en cierto modo, también sea responsabilidad del usuario ser consciente de los datos que proporciona, conocer su tratamiento y ejercer sus derechos de acceso, rectificación, cancelación y oposición si se estima necesario. Si los datos son recogidos a través de una página web debe leer el aviso legal y las políticas de privacidad de la misma.
Para ello, además de lo ya mencionado, el ITI destaca también la posibilidad de acogerse a la Agencia Española de Protección de Datos (AEPD) y a Ley de Servicios de la Sociedad de la Información (LSSI).
De hecho, la asociación de consumidores FACUA no solo ha pedido a los usuarios de Sony que anulen las tarjetas de crédito afectadas, sino que también ha denunciado el hecho ante la AEPD, y espera que se abra una investigación para esclarecer todo lo ocurrido y depurar las posibles responsabilidades de la empresa japonesa, antes de que Playstation Network vuelva a ponerse en marcha a finales de mes.
0 Comentarios:
Publicar un comentario