¿Eres consciente del riesgo al que te expones por realizar una descarga pirata o intentar ver el fútbol gratis a través de una web poco fiable? Gracias a acciones ‘inocentes’ como esas, los ciberdelincuentes podrían robar dinero de tu cuenta o incluso espiarte por la cámara web. Un portavoz de la firma de ciberseguridad Buguroo nos cuenta cómo lo consiguen y qué hacer para no ser víctima.
Cada vez más internautas recurren a las páginas de descarga directa para encontrar sus contenidos preferidos: películas, videojuegos, acontecimientos deportivos, programas de televisión… Al entrar en ellas, el usuario siempre sufre una lluvia de anuncios ‘pop ups’, banners con enlaces publicitarios a otras webs, e incluso falsos botones de descarga. Muchos de ellos nos llevarán a páginas maliciosas, o nos inducirán a instalar programas que pongan en peligro la seguridad de nuestro equipo. Lo mismo sucederá con las actualizaciones de Java, Flash Player, etc. que te pidan instalar desde este tipo de páginas.
El Instituto Nacional de Seguridad –INCIBE- y el Observatorio Nacional de las Telecomunicaciones y de la Sociedad de la Información –ONTSI-, publicaron recientemente el ‘Estudio de Ciberseguridad y confianza en los hogares españoles’, en el que se revela que un 61 % de los usuarios no abren un archivo si no tienen la certeza de que ha sido analizado previamente por su antivirus, y un 75,3 % no comparte todos los archivos que tiene en su ordenador.
Para saber hasta dónde llega el peligro de la descarga de archivos por Internet y las webs desde las que se descargan, Onemagazine.es ha consultado al portavoz de la firma de seguridad Buguroo, Eduardo Sánchez. Éstos han sido sus comentarios.
¿A qué riesgos te enfrentas al abrir una página de descargas por Internet que no es de confianza? ¿Existen otros riesgos aparte de los virus?
Los riesgos de entrar en una web que no es de confianza se pueden equiparar a los de la vida analógica. ¿Comprarías en una tienda que vende comida de dudosa procedencia? ¿Te meterías en una calle oscura por la noche? ¿Le das las llaves de tu coche a alguien al que acabas de conocer? Lo mismo ocurre en el mundo online: si no confías en una página, lo mejor es no acceder a ella.
Quizá la gente piense únicamente en virus, pero hablamos de riesgos de enorme magnitud derivados no solo de ese tipo de malware. La cosa va más allá de que nuestro ordenador se llene de basura, ya que si antes, durante o después de acceder a esas páginas utilizamos servicios críticos (como banca online) estamos generando innecesariamente un vector de riesgo.
¿Cómo consiguen la señal de streaming, los vídeos, los discos, etc., que te descargas? ¿Cómo obtienen dinero de ellos?
Es casi imposible responder a esta pregunta, ya que las respuestas son variadísimas. En el caso de las películas hay de todo: desde gente que va al cine y graba un film hasta los que ‘ripean’ el DVD cuando ya ha salido. Podrían ponerse ejemplos mucho más impactantes, como el ‘hackeo’ a estudios de cine (véase lo que le pasó a Sony) o copias para prensa que acaban en malas manos.
Con las señales en streaming también hay varias formas de proceder. Quizá la idea mayoritaria de la gente es que alguien se hace socio de una plataforma de pago y luego emite su señal a través de internet, pero existen muchas más fórmulas.
En todos los casos, la forma más habitual de hacer dinero con estos productos es mediante la publicidad. Cuando accedes a una web de descargas y te piden que primero pinches en un sitio, luego en otro y luego en otro no es casualidad: el dueño de esa web se está llevando dinero tanto por las páginas vistas como por los clicks. Por supuesto, hay otras formas de monetización, ya que muchas veces el malware de esas páginas web está puesto allí con conocimiento del dueño de la página.
¿Cuáles son los virus o malware que más se han extendido a través de las descargas o de las páginas en las que se buscan? ¿Cuáles son los más peligrosos?
El tipo de malware más extendido (y también más incómodo) es el adware: software malicioso que fuerza al usuario infectado a ver publicidad en cada una de sus acciones. Las barras de anuncios o los buscadores que se ponen solos son, al fin y al cabo, malware que limitan el libre comportamiento de los usuarios.
Realmente el adware no es peligroso por definición, aunque puede ser el punto de partida para ataques bastante peores. Muchos casos de robos de tarjeta de crédito o de gente a la que le han grabado por la webcam han empezado a través de adwares con los que los usuarios conviven porque les da pereza limpiar su sistema operativo.
¿Qué medidas de seguridad podemos adoptar aparte de contar con un antivirus actualizado?
Aparte del antivirus, es muy importante mantener el sistema operativo siempre actualizado. Puede dar pereza cuando Windows nos pide reiniciar para instalar 34 parches, pero es vital hacerlo. Lo mismo se podría aplicar a cualquier otro software que instalemos: si está actualizado se minimizan los riesgos. Y la posibilidad de actualizar está asociada a usar programas originales: piratear supone exponerse a lo más oscuro de internet.
¡Ah! ¡Y muy importante! Sentido común, por encima de cualquier otra cosa. Es muchísimo más sencillo que sufra un ataque alguien que hace un uso inadecuado de su equipo (software pirata, visita de páginas no recomendables, abrir archivos adjuntos de emails de desconocidos) que alguien que tiene un comportamiento responsable.
¿Por qué aparecen tantas ‘ventanas’?
Esas ventanas, en la gran mayoría de los casos, forman parte del adware del que hablaba antes. ¿Por qué salen? Para conseguir más páginas vistas, para que los usuarios hagan click de manera involuntaria, para llamar la atención… Al final es puro marketing. Agresivo y moralmente reprobable, si, pero una forma de marketing.
¿Cuánto dinero puedes perder -en antivirus, reparaciones, por que te roben…-?
Cabe diferenciar en dos conceptos: invertir y perder. El que se compra un antivirus o lleva su equipo a profesionales contrastados no está gastando dinero, sino invirtiendo en su propia seguridad.
Por otro lado, si hablamos de pérdidas como tal, nos referimos al dinero que nos pueden sustraer como consecuencia de un ataque. Y aquí la respuesta es muy sencilla: podemos perder tanto como tengamos.
¿Existen casos conocidos de páginas de este tipo que, voluntaria o involuntariamente, difundieron malware entre sus usuarios?
Por supuesto, los casos se cuentan por miles. De forma voluntaria hay ejemplos en muchísimos sectores, aunque evidentemente los menos recomendables (sitios pornográficos, de juego o de venta de drogas) suelen estar siempre en la palestra. Una de las web porno con más tráfico a nivel mundial, RedTube, fue noticia la semana pasada porque infectaba a sus visitantes solo con entrar en la web. ¡Sin ni siquiera tocar nada!
De manera involuntaria también puede ocurrir. A los ciberdelincuentes muchas veces les resulta más producto atacar a un sitio de confianza (como un periódico o un organismo oficial) para que sus usuarios, que confían ciegamente en la página, sean infectados. Aquí podríamos distinguir entre los ataques evitables (por ejemplo un blog que no actualiza su CMS correctamente) y los que no se pueden evitar (con algún periódico español de tirada nacional ha ocurrido). En ese caso se trata de un accidente, igual que les podrían haber entrado a robar a la redacción: solo queda analizar lo ocurrido, aprender de ello y poner medidas para que no se vuelva a repetir.
¿Se ha analizado sitio por sitio? ¿Los responsables de las páginas suelen ser cómplices?
Se han hecho muchos estudios sistemáticos, tanto a nivel general como por sectores. Sin embargo, no se puede hablar “sitio por sitio” por la pura naturaleza de internet: se puede analizar una web en un momento concreto, pero diez minutos después esa web se actualiza y el estudio ya ha quedado obsoleto.
Los responsables de las páginas nunca son cómplices: son víctimas o son parte activa de la ciberdelincuencia, pero no hay término medio.
¿Qué te puede pasar legalmente por ‘bajarte’ contenidos de estas páginas ilegales?
Aunque la piratería está castigada desde el punto de vista legislativo, prácticamente nadie ha sido sancionado en España por descargar o tener películas o música ilegal. Lo tienen más complicado los sitios que las distribuyen, un tema que está persiguiendo el Estado desde fechas recientes: casos como la eliminación de enlaces en SeriesLy fueron muy comentados hace solo un par de meses.
Es triste desde el punto de vista de los músicos, los actores o los programadores de software, pero hoy por hoy legalmente no te pasa nada por bajar contenidos de manera ilegal.
¿Hay alguna alternativa legal, segura y gratuita a estas webs de descargas? ¿Qué consejos debemos seguir para buscar archivos y descargarlos legalmente, sin ser víctimas de los ciberdelincuentes?
¡Pues claro! El mundo ha cambiado: el que piense que la gente va a pagar 20€ por un CD y se va a conformar con escuchar un disco nuevo cada mes tiene que dejar el siglo XX y entrar al XXI. La gente demanda contenidos de manera sistemática, por lo que hay que adaptarse a esa realidad.
En música, el caso paradigmático es el de Spotify: un servicio online en el que puedes escuchar música con anuncios (gratis) o sin anuncios (pagando una cuota mensual). Los artistas ganan dinero con las escuchas, con lo cual todos contentos. El mismo ejemplo en cine sería Netflix, pero a España no ha llegado todavía porque la industria no termina de verlo con buenos ojos.
Sea como fuere, no solo existen alternativas: es el futuro. Los que somos nativos digitales prácticamente vivimos sin escuchar la radio o ver la televisión, y solo consumimos productos audiovisuales bajo demanda.
¿Las amenazas a través de estas páginas y de estas descargas irán a más o cada vez estarán más controladas?
Lamentablemente, internet se vuelve más inseguro por momento. No hablamos de chavales con capucha que “hackean cosas” por pura diversión: hablamos de auténticas mafias que mueven tremendas cantidades de dinero. Es un dato que vemos a diario los que estamos en el sector, pero que asusta y mucho a los que no saben demasiado sobre ciberseguridad: el cibercrimen mueve en el mundo más dinero que el tráfico de armas y de drogas juntos.
Por suerte, los usuarios tenemos capacidad de elección. El que piense en el “todo gratis” seguramente seguirá acudiendo a estas páginas de descargas, exponiéndose consciente o inconscientemente a sus inherentes riesgos. El que entienda la ciberseguridad como una parte importante de la vida digital evitará esos riesgos y acudirá a servicios legales, minimizando el riesgo de ser víctima de un ciberataque.
ONE MAGAZINE
