MENÚ

Administraciones públicas que luchan contra el ‘phishing’ entre sus empleados: el simulacro de la Fundación Progreso y Salud dependiente de la Junta de Andalucía en el que cayeron 35 trabajadores

Publicado Dec 1, 2021, 7:03:00 PM
Comparte

Los intentos de timo a través del phishing, la técnica que intenta hacerse con nuestros datos y en ocasiones también con nuestro dinero, son muy comunes. En Maldita.es os hemos contado casos en los que se hacen pasar por bancos, empresas de mensajería, tiendas e instituciones públicas.

Por eso es importante aprender a identificar estos casos, para no acabar dando nuestros datos a timadores. Así lo consideran también desde la Fundación Progreso y Salud dependiente de la Junta de Andalucía, donde han hecho un simulacro de phishing para comprobar qué nivel de concienciación hay entre sus trabajadores en cuanto a “la seguridad de la información y la ciberdelincuencia”. De 398 personas que recibieron el mail, 91 abrieron el enlace y 35 dieron sus datos.

Una idea que surgió para “medir qué nivel de concienciación” sobre seguridad de la información hay entre sus empleados

Hace unas semanas, casi 400 empleados de la Fundación Progreso y Salud (FPS), dependiente de la Consejería de Salud y Familias de la Junta de Andalucía, recibieron un correo electrónico supuestamente de la Consejería andaluza de Hacienda. Un email en el que pedían algunos datos personales -como el nombre y el número de teléfono- y que tenía las características comunes de un caso de phishing, la técnica que como ya os hemos contado en Maldita.es se intenta hacer con nuestros datos, ya sean personales o bancarios, y a veces también con nuestro dinero.

La idea surgió cuando a Esteban Toro, el responsable de la Unidad de Sistemas de Información de la FPS, le comentó hace unos meses el gerente de su equipo que estaría bien “medir qué nivel de concienciación” sobre protección de la información hay entre los empleados de la Fundación. Al principio no se le ocurrió cómo hacerlo, pero pasado el tiempo pensó que podría enviar un correo electrónico que simulara un caso de phishing.

Así, Toro y otro compañero diseñaron un formulario que publicaron en una URL que pertenecía a la institución pero que estaba en desuso (y en todo caso no era oficial de la Junta de Andalucía), para enlazar en el correo electrónico en el que pedía los datos de los usuarios. La intención era la de poder contar con una información estadística del número de personas que accedían al enlace y de las que rellenaban el formulario. Más allá de eso, aseguran que no almacenaron ningún dato de las personas que lo han rellenado.

Sólo el responsable de la unidad y su compañero sabían que iban a llevar a cabo este simulacro, ya que querían que participase todo el equipo y no era posible si sabían de antemano que esto se iba a hacer. 

El correo electrónico se hace pasar por la Consejería de Hacienda de la Junta de Andalucía

“Estimado ciudadano, Desde esta dirección general nos ponemos en contacto con usted para solicitarle que revise y confirme sus datos de contacto, y podamos realizar de forma fehaciente las comunicaciones y envíos personales”. Así comienza el mensaje que les llegó a los empleados de la Fundación Progreso y Salud. Un mensaje en el que habían pegado el logo de la Consejería de Hacienda “para hacerlo lo más real posible”, afirma su autor.

Captura del correo que enviaron y que simula ser un caso de phishing.

Pero como decimos, el mensaje sí cuenta con elementos que son comunes en los casos de phishing y que nos pueden ayudar a identificarlos: la dirección desde la que se envía ([email protected]) no es de una cuenta oficial. Además, la URL del enlace (que ya no está disponible), tampoco era de la Junta de Andalucía (la oficial es juntadeandalucia.es).

Captura de la dirección de correo desde la que se envió el email.

De los 398 trabajadores que recibieron el mensaje, 91 pincharon sobre el enlace y 35 rellenaron el formulario

El correo electrónico llegó a 398 empleados y, aunque no todos picaron, algunos sí que lo hicieron: 91 de ellos abrieron el enlace que les redirigía a la web que simulaba ser de la Consejería de Hacienda y al final, 35 personas rellenaron el formulario de la página. Afortunadamente para ellas, detrás del correo no había ciberdelincuentes esperando obtener sus datos, sino que estaban sus compañeros de Sistemas de Información de la Fundación que, “de forma secreta”, enviaron este correo “fraudulento”.

Para el responsable de la Unidad de Sistemas de Información se trata de una cifra “alta”. “Me hubiera gustado que nadie hubiera dado sus datos”, añade. Pero a pesar de ello, Esteban Toro afirma que de la experiencia se pueden sacar conclusiones positivas: en su departamento recibieron varias incidencias por parte de los empleados de la Fundación, que alertaron de que les había llegado ese correo electrónico. Hasta el punto de que sus compañeros, quienes tampoco sabían nada del simulacro, lo comunicaron al delegado de Protección de Datos de la Consejería de Salud. Esto demuestra “que el equipo actuó correctamente”, apunta el responsable.

Formación para concienciar sobre la seguridad de la información

El equipo de la Unidad de Sistemas de Información de la FPS está implantando un sistema de gestión de la seguridad de la información en la Fundación, según afirma su responsable. “Llevamos años trabajando con el tema de la seguridad, sobre todo por el Esquema Nacional de seguridad y el Reglamento de Protección de Datos”. Pero afirma también que en este proceso de reforzar la seguridad de la información consideran importante incluir al personal de la Fundación.

Sobre el correo, no avisaron que era un simulacro hasta cuatro días después de haberlo enviado, cuando ya más de 30 personas habían ofrecido sus datos en una web que se hacía pasar por la Consejería de Hacienda de la Junta. Días después, a estos empleados les llegó otro mensaje con el boletín informativo interno, en el que les informaban de que habían sido partícipes de un simulacro que forma parte “de un programa que se pondrá en marcha para concienciar a toda la plantilla sobre la importancia de la ciberseguridad”.

Qué podemos hacer para evitar ser víctimas de phishing

Caer en casos de phishing no es tan difícil y en Maldita.es lo sabemos muy bien. Sois muchos los que nos escribís a nuestro correo ([email protected]) para contarnos vuestro caso. Por eso, saber identificar estos casos es fundamental para no ser víctimas de los ciberdelincuentes. 

  • Fíjate bien en la dirección del correo electrónico o del SMS. Si te llega un mensaje, presta atención a la dirección del correo que te lo envía, concretamente a lo que viene después de la "@". En el caso del SMS, observa que la URL del link sea el de la empresa que dice ser.  Si notas algo raro, borra el mensaje.
  • Mira la dirección de la web a la que te redirige. Normalmente este tipo de notificaciones vienen con un link en el que te piden que introduzcas tus datos. Si la url de esta página web no es de la empresa por la que se hace pasar o es una mezcla de letras, números y el nombre de esa empresa, no introduzcas tus datos. Para ello, fíjate bien en lo que aparece antes del último punto, ese es el dominio real de la página web.
  • Cuidado si al intentar pinchar en los elementos de la web no te dirige a ningún sitio o te pide verificar tus datos.
  • Contrasta con las fuentes antes de dar tus datos. Estos mensajes transmiten urgencia para que no te dé tiempo a reaccionar. Recuerda que puedes preguntar a la propia compañía, a la Policía o a la Guardia Civil o a nosotros a través de nuestro servicio de WhatsApp.

Además, hay maneras de disminuir la cantidad de correos electrónicos no deseados que recibimos, como crear una cuenta de correo exclusivamente para registrarnos en páginas web, configurar filtros antispam o evitar dar nuestra dirección de correo en cualquier web.