Una tendència a l'alça

Al llarg del primer semestre del 2022 s'ha observat la proliferació de campanyes d'espionatge, l'augment de programari dedicat al robatori d'informació i, en resum, com l'obtenció d'informació ha acabat convertint-se en la segona principal motivació darrere la gran majoria dels ciberatacs.

Els indicadors que recull l'Agència de Ciberseguretat de Catalunya mostren que l'espionatge constitueix la segona principal motivació dels ciberatacs.

Com es produeix i com s'evita

L'amenaça de l'espionatge amb programes espia "spyware" troba vies d'entrada als dispositius a través de la no actualització dels sistemes, l'accés a llocs web no fiables i la descàrrega de fitxers sospitosos.

Ni és possible de protegir-se contra tota mena d'atacs ni hi ha cap eina ni cap programari que ens garanteixi una defensa infal·lible davant la vigilància. Per això és important que considerem quines són les nostres pràctiques a internet i els nostres hàbits en higiene digital, a més de fixar-nos en els possibles perills que se'n deriven i apliquem solucions per mitigar-los.

Abans de triar una eina de protecció de la privacitat concreta, adquirir-la, descarregar-la i instal·lar-la hem de demanar-nos com és de transparent, si els seus responsables estan compromesos, o si ha estat criticada a la xarxa per altres usuaris. També hem de preguntar-nos sobre la seguretat dels dispositius de què fem ús i quin tipus d'amenaces podem patir. No tothom requereix el mateix tipus de nivell de protecció o no en tots els dispositius que utilitzem.

Recomanacions

Ignorar els correus electrònics amb remitent desconegut, en especial quan sol·licitin credencials o incloguin un fitxer adjunt.

Els usuaris susceptibles de ser víctimes de ciberespionatge han de sospitar de qualsevol enllaç de procedència desconeguda i posar-ho en coneixement d'experts en ciberseguretat.

Les organitzacions han d'aplicar una estratègia de ciberseguretat que contempli:

-Restringir dades als usuaris que n'han de fer ús per la seva feina i excloure els que no les necessiten.

-Avaluar els riscos dels serveis proporcionats per proveïdors tecnològics i desplegar mesures correctives i realitzar auditories o comprovacions.

-Realitzar capacitacions educatives periòdiques sobre seguretat del correu electrònic perquè els empleats estiguin alerta sobre les tàctiques de phishing, i introduir les millors pràctiques d'utilització del correu electrònic.

-Posar a prova els plans de resposta a incidents per enfortir la preparació i la disposició de l'organització a l'hora de respondre.

-Els usuaris i les organitzacions han de vetllar per mantenir actualitzats els sistemes operatius, el programari i l'antivirus.

Les institucions públiques i els proveïdors de correu electrònic haurien de col·laborar activament per dotar la ciutadania de plataformes per compartir alertes i obtenir informació dels nous casos de ciberespionatge.

L'Agència de Ciberseguretat de Catalunya, a través del Programa Internet Segura, posa a la disposició de la ciutadania, empreses i educadors recursos pedagògics i informació per a la ciberprotecció en diferents àmbits.

www.ciberseguracat.cat

www.internetsegura.cat

Comunicacions segures

Pràcticament totes les aplicacions de xat que tenim a l'abast estan protegides per protocols de xifratge d'extrem a extrem. Aquest mecanisme de seguretat protegeix les nostres dades privades en línia. Però les alternatives per a la comunicació instantània textual són tan nombroses i és important que en coneguem les característiques, prestacions i riscos i triem la que millor s'adapta a nosaltres.

Creació de contrasenyes segures

Crear credencials úniques i robustes i no reutilitzar-les és imprescindible per assegurar la confidencialitat dels nostres comptes d'usuari i serveis. A més, saber emmagatzemar i fer un bon ús d'aquestes credencials és fonamental. Per sort, els gestors de contrasenyes poden facilitar-nos molt aquesta tasca.

Dades segures

Mantenir aquesta informació segura, resguardada davant el potencial ús maliciós o l'apropiació per part de tercers és absolutament primordial.

La informació preuada mereix una cura especial, cal endreçar-la i protegir-la i això no és fàcil. Per sort, hi ha mètodes senzills que poden facilitar-nos aquesta tasca.

Quina informació he de xifrar?

El xifratge (també anomenat encriptació) és la codificació d'un missatge per fer-lo críptic o secret. Es tracta del procés matemàtic que fa que un missatge esdevingui il·legible, excepte per a qui posseeix la clau per desxifrar-lo. Aquest recurs és la millor eina per evitar que actors maliciosos, o proveïdors de serveis i governs massa tafaners puguin assabentar-se de la nostra informació sensible.

El xifratge de dades en repòs s'ocupa de codificar la informació emmagatzemada (com ara la que desem en un disc dur, en una targeta de memòria, o dins d'un ordinador o d'un telèfon mòbil). El xifratge complet codifica tota la informació continguda dins un suport, protegint l'accés per mitjà d'una contrasenya o d'un altre mètode d'autenticació, 

També existeix el xifratge de dades en trànsit, que afecta la informació que s'envia d'un emplaçament a un altre. 

En la comunicació web, la informació va del servidor al nostre navegador i també en sentit contrari. En tots dos casos és important que la informació entre emissor i receptor estigui xifrada, sigui per mitjà del xifratge de la capa de transport o a través de xifratge d'extrem a extrem. 

Navegació segura

Quan ens connectem a les xarxes sense fil de llocs públics (bars, restaurants, biblioteques, etcètera) hem de saber que estem accedint a connexions que no necessàriament són segures. Per assegurar les nostres connexions podem utilitzar una xarxa VPN (sigla de virtual private network o xarxa privada virtual). Aquest pas intermedi en la comunicació xifra totes les dades que enviem i rebem, i això permet que naveguem amb la mateixa seguretat que si naveguéssim des de casa. Serveix tant per a telèfons mòbils com tauletes o ordinadors portàtils. També podem protegir les nostres dades sensibles navegant amb navegadors privats.

Encara que el protocol https ofereix la garantia que la comunicació entre el dispositiu i el lloc és xifrada, cal tenir en compte que això no indica que el lloc sigui necessàriament autèntic i hi ha llocs web xifrats que exposen les dades dels usuaris, cosa que pot facilitar que un atacant extregui informació i manipuli les dades que es transfereixen entre el navegador i el servidor web.

En aquest sentit, hem de saber que no hi ha cap indicador que tot sol ens garanteixi seguretat i privacitat.

Protecció a les xarxes socials

Hem de preguntar-nos quina informació revelem, què diu de nosaltres, qui ho veu i quin ús en fa per poder actuar per evitar riscos amb les dades sensibles a les xarxes socials.

Cal que també tinguem en compte que la nostra adreça IP pot ser enregistrada en el moment en què creem un compte d'usuari. Sempre hauríem de consultar la Política de Privadesa i modificar els paràmetres de privacitat per restringir la informació personal que compartim amb el lloc en qüestió i fixar-nos en la configuració de les aplicacions socials de què fem ús i la demanda de permisos.