¿Por qué deberíamos llevar un smartwatch en la muñeca?

Los smartwatches llegaron hace unos añso a nuestras vida, pero no ha sido hasta ahora cuando las alternativas más interesantes han comenzado a aparecer, pasando de ser elementos sin utilidad a convertirse en dispositivos útiles y convenientes.

Cuando pensamos en el concepto “reloj inteligente” quizá relativicemos mucho su importancia y usos. Los relojes han sido durante siglos accesorios para dar la hora. Los smartwatches toman su lugar en nuestra muñeca, pero haciendo mucho más que eso y dando prioridad a otras cosas. El gran tamaño que han alcanzado los smartphones en los últimos años ha hecho que, si bien utilizarlos es ahora mucho más productivo que antes, sacarlos del bolsillo cada cinco minutos para consultar notificaciones cortas pueda acabar resultando pesado.

El principal uso de un smartwatch solventa por completo esto. Cuando recibamos notificaciones, nuestra muñeca vibrará y, al girarla, podremos ver el mensaje que acabamos de recibir en nuestro terminal, e incluso contestarlo vía dictado. Lo mejor es que desde hace poco, servicios como Google Now permite iniciar conversaciones desde los smartwatches en aplicaciones como Telegram o WhatsApp, por lo que incluso en este caso eliminamos la necesidad de sacar el smartphone. También resulta especialmente cómoda la posibilidad de llevar en la muñeca las tarjetas de embarque o billetes del cine, evitando imprimir y gastar papel de forma innecesaria.

En un aspecto siempre importante como la seguridad, los smartwatches tienen un papel muy relevante. Gracias a cambios que se introdujeron en Android, cuando el smartphone detecta por Bluetooth que llevamos el reloj puesto no nos pedirá insertar PIN, patrón de desbloqueo o la huella dactilar. Para asegurar nuestro smartphone y smartwatch, una de las mejores opciones de antivirus es Panda Mobile Security 2016, que además de hacer fotos de un posible ladrón con la cámara frontal del terminal al introducir erróneamente el PIN, también permite localizarlo y bloquearlo desde el reloj gracias al modo anclaje de Android Wear.

Los smartwatches también acaban siendo fundamentales para usuarios que escuchan mucha música o podcasts. Gracias al soporte de las principales aplicaciones de reproducción, desde nuestra muñeca podremos no sólo pausar o avanzar hacia otras pistas, sino también acceder a todos los álbumes o listas de reproducción. Especialmente importante para deportistas puede ser el hecho de que podemos descargar canciones en el propio reloj y reproducir de manera inalámbrica con unos auriculares Bluetooth y así no cargar con el smartphone a la hora de salir a correr o hacer la ruta en el gimnasio.

Algunos smartwatches también tienen GPS, lo que añadido a los podómetros y sensores de ritmo cardíaco hace que puedan sustituir perfectamente a wearables deportivos dedicados, con medición de altura, distancia recorrida y calorías consumidas. Un todo en uno para mejorar nuestra salud. Por otra parte, si no tienen GPS, podemos aprovechar el del smartphone para visualizar indicaciones de Google Maps en la muñeca, especialmente útil para conductores o peatones que no conocen el lugar que están visitando.

¿En quién podemos confiar?

en quien confiarLa seguridad informática en el siglo pasado era muy sencilla. Internet estaba en pañales, los ciberdelincuentes no estaban organizados como  como ahora, no teníamos que preocuparnos por teléfonos móviles ni por la movilidad de los trabajadores, el espionaje era entre países o entre grandes corporaciones, la privacidad de nuestras comunicaciones y datos estaba garantizada…

Sin embargo, desde el 11S y la declaración de la guerra al terrorismo los distintos países han incrementado la vigilancia sobre sus ciudadanos. Snowden descubrió hasta dónde llegaba el espionaje por parte de los EE.UU. De hecho, la UE ha declarado que esa nación no es “puerto seguro” por lo que las empresas europeas no pueden almacenar datos de sus clientes o trabajadores en ese país. Pero el Tío Sam no es el único en hacerse con nuestros datos y comunicaciones.

La amenaza de extremo oriente

Las amenazas también surgen de países tan lejanos como Corea del Norte. No podemos olvidar que desde ese país surgió el ataque a Sony de 2014 en el que se desvelaron miles de documentos clasificados e incluso películas sin estrenar. Pero esta tensión viene de lejos, ya en 2009 el congresista americano Peter Hoekstra, pedía a Obama que lanzará un ciberataque contra esa nación.

Aunque la amenaza norcoreana parece lejana, la de sus vecinos chinos nos afecta más. El CNI alerta que ha tenido que gestionar un 41% más de ciberataques estratégicos contra objetivos españoles durante el 2015 y avisa que para este año espera que ese número sea aún mayor. Además señala a Rusia y China como los dos principales países de origen de esos ataques.

Por si fuera poco sus empresas tampoco son de fiar. Los portátiles de Lenovo se hicieron tristemente famosos por llevar instalado el malware Superfish. Pero esta no es la única empresa china en entredicho, en 2012 el gobierno de los EEUU vetó a Huawei y a ZTE por considerarlas una amenaza contra la seguridad nacional, al creer, más que posible, que sus dispositivos llevaran puertas traseras que sirvieran para espiar.

Huawei también se ha visto involucrado, junto a otros famosos fabricantes chinos de móviles como Xiaomi, en el caso de los smartphones con malware preinstalado de fábrica. Estos son ejemplos de como las amenazas a veces vienen de donde menos lo esperamos y como no solo nos tenemos que preocupar del uso que hacemos de nuestros dispositivos, sino que también estos pueden suponer un problema en si mismos.

El antiguo bloque soviético

Como ya hemos dicho, el CNI cita en sus informes a Rusia como origen de gran parte de los ciberataques estratégicos contra objetivos españoles. Más países europeos se encuentran en la misma situación. Holanda, por ejemplo, declara que también ha detectado un gran número de ciberataques provenientes Rusia y China, centrando sus objetivos en “iniciativas innovadoras”.

La antigua Guerra Fría parece que se ha mudado al mundo virtual, con constantes acusaciones de ciberespionaje entre EEUU y Rusia. Uno de los ejemplos más claros fue cuando el pasado verano, los EEUU culparon a Rusia del ataque contra el Pentágono en el que los hackers consiguieron entrar en el sistema informático del Departamento de Defensa.

Conclusión

En el mundo virtual es difícil confiar en alguien que no sea nosotros mismos. Todos somos posibles objetivos de los gobiernos, empresas y ciberdelincuentes. Nuestra mejor manera de defendernos es implementar el cifrado en nuestras comunicaciones y ficheros y confiar solo en empresas con un historial inmaculado.

Me gustaría romper una lanza a favor de las empresas europeas, ya que se tienen que regir por las estrictas leyes dictadas por la Unión. Además, en caso de surja un problema,siempre serán más accesibles que las que tengan su sede en EEUU o China por citar dos ejemplos.

Estafa del CEO

Así se produjo la “Estafa del CEO” y cómo se podría haber evitado

El Timo Nigeriano es una de las estafas online más populares de la historia. En ella, los estafadores hacen creer a sus víctimas que tienen una gran fortuna o herencia esperándoles, y las persuaden para que paguen una cantidad de dinero por adelantado. Las sumas de dinero son elevadas, aunque parecen poco en comparación con las fortunas que les esperan. Pero los tiempos cambian, y las estafas online evolucionan con ellos. 

La Policía Nacional ha desarticulado una organización internacional que ha cometido fraudes millonarios a través de correos electrónicos. ¿Sus objetivos? Altos directivos de empresas. No en vano, la operación se ha denominado “Estafa del CEO” o “Business Email Compromise”.

Una auténtica trama a lo “Ocean’s Eleven” constituida como una empresa cibercriminal perfectamente organizada, donde cada miembro tenía una función específica. Estafadores profesionales, mulas, correos falsos, y muchos millones de euros son algunos de los ingredientes de esta trama que podría convertirse en un guion para Hollywood.

policia-ordenador

El timo: pescando con phishing 

El modus operandi consistía en acceder de forma ilegítima a las cuentas de correo electrónico de directivos de empresas mediante spear phishing. Es decir, enviaban emails fraudulentos que solicitaban las credenciales de las cuentas de email. Cuando una víctima caía en la trampa y les daba sus datos, inmediatamente los estafadores conseguían el acceso a sus correos electrónicos, y por tanto a todo tipo de datos confidenciales.

Una vez que tenían acceso al correo, enviaban a través de él otro correo malicioso a otros contactos de su agenda, también altos directivos. En él, simulaban compartir un documento en un servicio de almacenamiento en la nube. Para acceder, tenían que introducir usuario y contraseña. Una vez que las conseguían, simulaban un error en la descarga, para así evitar sospechas. Pero de nuevo, los estafadores habían conseguido acceso a nuevas credenciales, y así volver a llevar a cabo la operación una y otra vez y encontrar nuevas víctimas, todas ejecutivos y directivos de importantes empresas.

Para hacerse con el dinero, una vez que obtenían las credenciales de las víctimas, en ocasiones directamente suplantaban su identidad y operaban como titulares con las entidades bancarias de las empresas. Otras veces, hacían un seguimiento de los movimientos de la cuenta de correo, buscando transacciones en proceso con clientes o proveedores. En el último momento, intervienen con el envío de un correo suplantando la identidad de la cuenta monitorizada. No se trataba de un ataque a gran escala, sino muy dirigido y focalizado en determinadas personas y empresas.

Las cantidades estafadas iban desde los 20.000 euros en el “mejor” de los casos, hasta los 1.800.000 euros. La mayoría de las estafas se situaban alrededor de los 600.000 euros.

estafa del ceo

La organización: cibercriminales jerarquizados

La organización estaba perfectamente estructurada, compuesta por personas con diferentes perfiles, y con tareas diferenciadas.

Por un lado, cibercriminales que tenían como objetivo obtener las credenciales de acceso a los correos. Sus objetivos eran empresas que realizaban grandes transferencias internaciones.

Por otro lado, las “mulas”, captados por los miembros de la cúpula y que a cambio de una comisión facilitaban una cuenta puente para recibir las transferencias ilícitas.

Además, las “mulas cualificadas”, que convencían a las personas allegadas para que actuaran como intermediarios. La mayoría de ellos eran ciudadanos españoles, por lo general administradores de medianas empresas, que aportaban cuentas bancaras a nombre de personas jurídicas de las que eran titulares.

Pero no queda ahí, a estas se suma la figura de los “facilitadores”, quienes proveían documentación falsa para justificar ante los bancos la procedencia de las enormes transferencias recibidas, y que no fueran devueltas a la entidad emisora.

Y (ya por último), los “transportistas”. Estos hacían llegar el dinero a su destino final, mediante el método “euro a euro”. Consiste en depositar el dinero en efectivo en un punto de entrega (una tienda de productos africanos o un locutorio), recibiendo un código con el que poder retirar el dinero en el país de destino, en este caso, Nigeria. El responsable del punto de entrega recibe una comisión por la gestión, y coordina una red de envíos constantes de dinero a través de personas que suelen viajar a Nigeria.

Ya se han detenido 44 personas, de las que 43 estaban en España o una en Reino Unido. Entre esas personas, 17 de ellas eran los máximos responsables de la organización cibercriminal. Pero no eso, sino que entre los arrestados también se encuentran empresarios españoles que ayudaban en la trama, apoyando el blanqueo. Algunos de los líderes, de origen nigeriano, ocultaban la identidad en sus acciones.

Durante los registros realizados por las autoridades (la mayoría en España, en Madrid y Toledo, y en Reino Unido) se han encontrado una gran cantidad de dinero en efectivo, que posteriormente iba a ser enviado a Nigeria.

policia estafa

La investigación: colaboración internacional

La Policía Nacional comenzó a investigar en noviembre de 2014, como explican en la nota lanzada sobre el caso, a raíz de una denuncia de un ciudadano pakistaní. Este aseguraba que había sido estafado por una cantidad de 34.000 euros, que habían sido extraídos de su cuenta bancaria, y que habían sido transferidos a una cuenta española. Este fue el comienzo, pero otras denuncias similares hicieron que los agentes empezaran a sospechar que no se trataba de un caso aislado, sino de una trama criminal.

Las investigaciones llevaron a los policías a dar con varias personas que llevaban un locutorio en la madrileña localidad de Móstoles. Ellos recibían todo el dinero en metálico y organizaban los envíos a Nigeria en vuelos semanales.

La investigación se ha llevado a cabo con colaboración de otros países, como Nigeria, Estados Unidos, Reino Unido o Turquía, donde muchas empresas estaban siendo afectadas por estas estafas.

estafa ceo phishing

La conclusión: ¿dónde está la concienciación en seguridad?

Esta trama no sólo pone de manifiesto la gran labor de la Policía Nacional en este caso para llevar a cabo una investigación realmente compleja, teniendo en cuenta la dificultad de dar con personas detrás de una trama cibercriminal a través de Internet, con las opciones de anonimato que ofrece.

También pone de manifiesto la gran falta de conocimientos en seguridad informática (básicos, muy básicos) de grandes directivos y ejecutivos. Como tantas veces, este timo se basa en una ingeniería social muy básica, enviando emails fraudulentos (supuestamente muy elaborados, pero habría que verlos…).

Si tan sólo hubieran sabido qué es el phishing, a detectar posibles emails fraudulentos, o que no se deben introducir datos confidenciales o credenciales cuando se lo soliciten a través del email, se podría haber evitado el robo de millones de euros. Casi nada.