Hoy, 28 de enero, se celebra el Día Europeo de la Protección de Datos, establecido por la Comisión Europea, el Consejo de Europa y autoridades encargadas de la Protección de Datos de los diferentes países miembros de la UE, en el que se pretende concienciar sobre la importancia del valor de nuestros datos personales y los derechos y obligaciones con los que contamos como usuarios de Internet.
El Consejo de Europa estableció la celebración de este día en resolución a 26 de abril de 2006. Y otro importante paso dado en Europa se dio el 2018 con la entrada en vigor del Reglamento General de Protección de Datos (GDPR), normativa caracterizada por sus altas multas por incumplimiento.
Según indica la empresa de seguridad, Sophos, los cibercriminales no necesitan concienciación sobre el valor de los datos personales presentes en Internet, ya que conocen bien el gran rédito económico que pueden obtener. Y actualmente una de las estrategias que más utilizan para hacerse con ellos es el phising.
Un caso reciente en España, que menciona Sophos, lo encontramos, por ejemplo, en la alerta dada por el Instituto Nacional de Ciberseguridad sobre dos campañas que suplantan dos organizaciones españolas: Ibercaja y la DGT.
Ibercaja
En la campaña detectada que suplanta a Ibercaja, el asunto del correo es: “SERVICIO DE ADMNISTRACIÓN DE CUENTA”, y en el mismo, el ciberdelincuente indica que es un correo enviado desde el equipo de soporte de Ibercaja, e insta a revisarlo haciendo clic en el enlace que indican a continuación.
Una vez que se clica en la opción de “Revisar mi mensaje”, el usuario es redirigido a una página web falsa para que se introduzcan las credenciales de acceso a la banca online. Una vez completados los campos, las credenciales han sido capturadas por los ciberdelincuentes.
DGT
En la campaña denunciada, el correo electrónico trata de distribuir un tipo de malware Dropper diseñado para tomar el control del equipo de la víctima. Una vez que el dispositivo infectado está bajo control del ciberdelincuente le permitirá realizar distintas acciones maliciosas, como robar datos personales o infectar nuevamente el equipo con otros tipos de malware específicos para sus objetivos.
El cuerpo del mensaje del correo electrónico que suplanta a la Dirección General de Tráfico es el siguiente:
Una vez se ha pulsado sobre el enlace «Acceso a Sede Electrónica», se abre el navegador para descargar a continuación un archivo .zip. El archivo descargado contiene malware, que puede ser detectado por algunos navegadores como archivo malicioso, notificándolo al usuario.