Reportaje
Los piratas digitales pescan poco en las redes de los ayuntamientos cordobeses
Eprinsa y un organismo del CNI han realizado una simulación entre 4.500 empleados locales para saber cuántos de ellos reaccionan ante amenazas de ‘phishing’
José Morales da indicaciones a un trabajador de Eprinsa en la sede de la empresa en Córdoba. / A. J. González
Uno de cada tres delitos que se cometieron el año pasado en España tuvo su origen en un simple clic. El ciberespacio es una comunidad humana en la que nos relacionamos e informamos y donde cualquiera puede realizar gestiones cotidianas sin moverse de casa, desde hacer la compra hasta pagar impuestos. Eso lo saben los delincuentes y también quienes nos protegen de ellos.
Con el auge de la ciberdelincuencia han aumentado las medidas de vigilancia y seguridad (cortafuegos, antivirus...); al fin y al cabo, si los ladrones corren mucho casi siempre la policía corre más. De forma paralela, los ciudadanos hemos aprendido a protegernos de los ataques informáticos y cada vez estamos más concienciados frente a los riesgos de la Red. Aunque no todos tienen el mismo grado de conocimiento.
Singular campaña
Para saber cómo de preparados están los técnicos y trabajadores municipales de la provincia de Córdoba, Eprinsa —la empresa de informática de la Diputación Provincial— y el Centro Criptológico Nacional —un organismo del CNI, el ojo que nos espía— han llevado a cabo una singular campaña que se ha desarrollado durante el mes de enero con elaborados trampantojos digitales.
La respuesta ha sido contundente: casi nadie cayó en la trampa
La idea era en principio sencilla: poner cebos a los empleados para saber cuántos picaban, sin que ningún despiste o desconocimiento tuviera consecuencias reales. Su puesta en marcha requirió una triple carambola, un juego de matrioskas. Para lanzar los anzuelos, los informáticos tuvieron que hacerse pasar por piratas digitales, que a su vez dieran la impresión de ser honrados funcionarios de la administración pública para la que trabajaban los supuestamente incautos destinatarios de la artimaña. Un lío necesario para mantener las apariencias.
Es lo que en el argot informático se conoce como phishing —«pescando» en inglés—, un delito que en esencia es una suplantación de identidad. Pero como quienes estaban detrás de la operación eran los buenos, el término apropiado es el oxímoron «phishing ético». Así lo explica el gerente de Eprinsa, José Morales, que ha coordinado la campaña.
Envío masivo de correos a los trabajadores
El envío masivo de correos a los trabajadores se realizó en dos fases con un total de 4.470 destinatarios, todos ellos empleados de entidades locales de la provincia exceptuando la capital. Ni siquiera este primer paso fue sencillo, ya que las propias medidas de seguridad impedían un spam detectado a las primeras de cambio. «Para hacer la simulación hubo que desactivar mecanismos automáticos de defensa porque si no los correos no entraban», explica Morales. Dicho de otro modo, los informáticos tuvieron que hackearse a sí mismos.
Los correos no diferían de los mensajes habituales de phishing que todos recibimos en algún momento. En la primera tanda, los piratas buenos pedían la verificación de datos bancarios para poder enviar la nómina. En la segunda fueron más atrevidos y solicitaron renovar la contraseña corporativa. Es la primera vez que se realiza una simulación de este calado en la provincia, informa Morales.
Buenos resultados
Los resultados finales muestran que los empleados municipales cordobeses no son, en general, unos pardillos. Con el primer anzuelo picaron 95 usuarios y 48 de ellos llegaron a enviar datos; en el segundo intento —más agresivo— sólo lo hicieron 48 personas, y de ellas apenas nueve llegaron a ofrecer los datos solicitados.
Se trata de porcentajes muy bajos que muestran un elevado grado de conocimiento de las medidas de protección frente al phishing. Solo un 2% de los usuarios picaron en los enlaces fraudulentos y un 1% desprotegió sus datos en el primer envío; en el segundo esos baremos se redujeron a menos de la mitad. El gerente de Eprinsa apunta que una empresa o institución está en riesgo cuando esos porcentajes alcanzan el 10%.
Además, la campaña tuvo una consecuencia inesperada pero positiva. Puesto que los usuarios no sabían que todo era una simulación, actuaron como se espera que deben hacerlo y alertaron a los servicios informáticos de un posible intento de fraude. El asunto llegó incluso al último pleno de la Diputación, donde la presidenta de la empresa pública, Sara Alguacil, tranquilizó a los diputados. Todo había sido una encerrona.
Suscríbete para seguir leyendo
- Cancelado el vuelo de regreso de los 30 turistas de Montilla atrapados en Dubái por la guerra con Irán
- Un manto de nieve cubre varios puntos de la Subbética cordobesa y el entorno del santuario de la Virgen de la Sierra
- La Guardia Civil investiga la muerte violenta de un hombre en Montemayor y detiene a una mujer
- Los turistas montillanos atrapados en Oriente Medio ya están en Madrid tras el vuelo de repatriación desde Omán: 'Estamos todos muy emocionados
- El Ayuntamiento de Baena declara la ruina legal del antiguo matadero Mimarsa por su grave estado de deterioro
- El desfiladero de un pueblo de Córdoba que parece sacado del norte de España
- La detenida por el crimen de Montemayor habría admitido la agresión al hombre ante la Guardia Civil
- La última menor que permanecía ingresada tras el accidente de Adamuz abandona el hospital Reina Sofía de Córdoba
