CiberCOVID-19


Reportar es importante

Es MUY IMPORTANTE que reportes cualquier incidente de seguridad que sufras o tengas sospechas de estar sufriendo.

Todo colaborador, proveedor, o tercera persona en contacto con datos y/o sistemas de Grupo Codere debe reportar cualquier debilidad o vulnerabilidad en la seguridad de la información, incidente o evento que apunte a un posible incidente de seguridad de la información, tal y como está especificado en nuestro Procedimiento de Gestión de la Seguridad de la Información.

Para ello, se contactará con la Dirección de Seguridad de la Información y Riesgos Tecnológicos en la siguiente dirección de correo: Oficina Técnica de Seguridad (ots.corporativo@codere.com) y también a través del Servicio de Atención al Usuario (helpdesk@codere.com).

Los incidentes de seguridad que debemos reportar a fin de que la organización pueda emprender las medidas necesarias para su control son:

  • El robo, extravío o pérdida de teléfono móvil, ordenador, disco duro, USB externo o cualquier dispositivo que pueda contener información sensible para la compañía.
  • Haber sido víctimas de un ataque de ingeniería social o phishing (pretenden mediante engaños el robo de información confidencial o la obtención de credenciales de acceso). Podemos recibirlos a través de distintos medios:
    1. Correo electrónico.
    2. Mensajes SMS (smishing).
    3. Redes sociales o aplicaciones de mensajería instantánea.
    4. Llamadas telefónicas (vishing).
  • Cualquier comportamiento anómalo o malicioso de nuestros equipos que pudieran ser derivados de la instalación de malware.
  • Comportamientos anómalos con respecto al uso de contraseñas

Porque recuerda, ¡SEGURIDAD somos TODOS!


Nuevas medidas de seguridad en Grupo Codere para reforzar el proceso de autenticación

Grupo Codere quiere mejorar la seguridad en la gestión de identidades y los accesos a las aplicaciones corporativas mediante la implantación del Doble Factor de Autenticación (MFA).

Como sucede de manera global y de forma análoga a otras organizaciones, desde hace varios meses venimos notando un aumento considerable de los intentos por parte de los ciberdelincuentes de obtener nuestras credenciales de acceso a los entornos corporativos de Grupo Codere. Ya sean las credenciales de VPNs, acceso a escritorio remoto o servicios de correo, con especial ímpetu a las cuentas de Microsoft. Hemos visto usar varias técnicas para tratar de robarlas:

Un elaborado correo de phishing:

Se trata de correos que suplantan la identidad de personas y empresas. Estos correos tratan de ser lo más convincentes posible, mediante una buena elaboración del mensaje y un remitente que pueda parecer creíble.

En esta ocasión vamos a presentar un ejemplo real, en el cual los delincuentes han comprometido previamente cuentas de correo de una empresa y están usándolas para enviar un mensaje a sus clientes y proveedores, llegando incluso a firmar estos correos con la fotografía y datos reales de algunos de sus empleados.

El correo que hemos analizado está bien redactado y ha sido enviado a varias direcciones de correo con la esperanza de que algún empleado caiga en la trampa. En el cuerpo del mensaje se habla de una “propuesta de acuerdo” que no se encuentra adjunta al email, sino que ha sido alojada en un servicio externo.

En este ejemplo se han omitido los datos del remitente para proteger la identidad de la empresa.

Podemos ver que se indica una fecha límite bastante próxima para así generar una sensación de urgencia en el receptor del mensaje.

Tenemos por tanto un correo bien redactado que viene desde un contacto de confianza y que incluye una propuesta de negocio, algo que pasaría por válido en muchos departamentos comerciales y de administración.

Por si fuera poco, al provenir de un remitente de confianza cuya cuenta ha sido previamente comprometida por los atacantes y no adjuntarse ningún fichero que pueda ser analizado, es probable que el filtro antispam no lo bloquee, puesto que no hay nada sospechoso en ese mensaje y el enlace redirige a un servicio legítimo de la empresa Adobe.

Engaño con la supuesta descarga de un PDF

La finalidad del mensaje anterior no es otra que la de conseguir que alguno de los receptores del email pulse sobre el enlace proporcionado. Si eso se produce, se accederá a una sencilla web generada en Adobe Spark con el logo de la empresa que ha sufrido el compromiso de alguna de sus cuentas de correo y la mención de la “Solicitud de propuesta de negocios Post COVID-19”.

También podemos observar cómo se nos muestra un botón desde el cual supuestamente se puede descargar esta propuesta en formato PDF. No obstante, esto no es más que el cebo usado por los delincuentes para redirigir a otra web donde se suplanta a Microsoft para tratar de obtener las credenciales de la cuenta del usuario que acceda a esta web fraudulenta.

Una vez allí, si algún usuario llega a introducir sus credenciales de acceso a su cuenta Microsoft, los delincuentes tendrían acceso, por ejemplo, a su cuenta de correo electrónico, y podrían usarlo para robar información que se encuentre en sus bandejas o suplantar su identidad para tratar de seguir robando credenciales de otros empleados de su empresa o de alguno de sus clientes o proveedores.

También es muy común que este sea un caso de acceso inicial y la finalidad de este ataque sea el robo de información confidencial o incluso el cifrado de la misma por un ransomware.

Por ese motivo hemos de ir con mucho cuidado con los mensajes solicitados en un correo electrónico u otro medio de comunicación, incluso aunque provengan desde remitentes de confianza. Tenemos que verificar la legitimidad de estos correos implementando medidas adicionales de seguridad como el doble factor de autenticación, que nos protejan aunque las credenciales se hayan visto comprometidas.

Los ataques dirigidos a distintas organizaciones, ya sean públicas o privadas, que tratan de robar todo tipo de credenciales, no han dejado de producirse desde hace bastantes meses, por lo que resulta esencial permanecer atentos a correos como el que acabamos de analizar e implementar capas adicionales de seguridad que dificulten la labor de los delincuentes, sin que esto resulte en un impacto en la usabilidad de los servicios necesarios para el correcto funcionamiento de la compañía.


Phishing, un solo clic basta para comprometer nuestra seguridad

Con el objetivo de concienciarnos sobre el peligro de picar el anzuelo del phishing, la Dirección Corporativa de Seguridad de la Información y Riesgo Tecnológico realiza desde hace tiempo distintos simulacros a través de nuestras cuentas de correo corporativas.

Se trata de correos en apariencia inocentes, que contienen un hipervínculo, donde el clic de un solo empleado es más que suficiente para comprometer la ciberseguridad de la compañía.

El simulacro más reciente, un correo en apariencia nada sospechoso, nos invitaba a unirnos a un equipo de trabajo de Teams, pero contenía pistas que nos hacían sospechar de su nula veracidad, como el emisor del mensaje: comunicacionteams@coBere.com

En esta ocasión, el 26% de las personas que recibieron el correo cayeron en la trampa y, de ellos, el 18% comprometieron su contraseña.

Si en lugar de un simulacro se hubiera tratado de un ataque real, todos lamentaríamos las consecuencias.

Un solo clic nos compromete y evitar el desastre se consigue poniendo todos nuestros sentidos en todo lo que hacemos:

  • No abras correos de usuarios desconocidos o que no hayas solicitado. Elimínalos de forma directa e inmediata y reporta la incidencia a través del correo ots.corporativo@codere.com
  • En ningún caso respondas a estos correos.
  • Extrema la precaución al seguir enlaces o descargar archivos adjuntos en correos electrónicos, SMS, mensajes en WhatsApp o redes sociales, aunque sean de contactos conocidos.
  • Ahora que muchos siguen en teletrabajo recuerda más que nunca mantener actualizado el antivirus y comprueba que está activo.
  • Asegúrate de disponer de una contraseña robusta.

A continuación, te presentamos los resultados con detalle de las campañas de simulacro de phishing país por país.


Creando contraseñas robustas

Antes de comenzar a leer este artículo, revisa si tu contraseña actual es robusta. Si es débil, cámbiala de inmediato aquí. ¡¡Quizá alguien la está utilizando contigo!!

La contraseña es la primera barrera de defensa de nuestros sistemas, ya que impide que alguien no autorizado pueda acceder a ellos. Por ello, es esencial contar con una buena gestión de contraseñas para preservar la disponibilidad, integridad y confidencialidad de la información de Grupo Codere.

Esta gestión de contraseñas supone:

  • Utilizar el doble factor en determinados servicios.
  • Crear contraseñas robustas y difíciles de adivinar.
  • No utilizar contraseñas por defecto.
  • Cambiarlas con frecuencia y no reutilizarlas.

Esta última es una buena práctica que consiste en no usar la misma contraseña en los distintos servicios. Utilizando contraseñas diferentes se evitará que los ciberdelincuentes, si consiguen una de ellas, cuenten con una “llave maestra" de acceso a todos los servicios corporativos.

Además, no debemos enviar nunca nuestra contraseña, ni por correo electrónico ni por mensajería (SMS, WhatsApp, etc….), ni anotarlas en papeles que estén a la vista o a los que se tenga fácil acceso.

Existen programas que tratan de acceder a los sistemas de información o aplicaciones web probando automáticamente cientos de miles de las contraseñas más comunes. Por ello, la importancia de disponer de contraseñas robustas que sean difíciles o casi imposibles de adivinar. Sigue los siguientes pasos:

Contraseñas robustas Ejemplo 1 Ejemplo 2 Ejemplo 3
Paso 1. Hacer uso de una palabra larga o incluso una frase murciélago elseñordelosanillos maríaestáennewyork
Paso 2. Utilizar tanto letras mayúsculas como minúsculas MuRCiéLaGo ElsEñOrdElOsAnIllOs MaRíAESTÁenNeWYoRK
Paso 3. Añadir números y caracteres especiales ¡MuRCi3la7Go_ .3l4EñOrd3lO4AnIllO4& 89MaR1AEST5enNeWYoRK;
Para más complejidad…Inventar palabras o cadenas de palabras que no tengan relación entre ellas _MuRci3la7GoEST5enAnIllO4& 4EñOrenNeWYoRK1%3 89MaR1A3sUn89MuRCi3la7Go_

Nuestra contraseña debe ser fácil de recordar por nosotros y muy difícil de adivinar por los demás.

Otros ejemplos de contraseñas seguras y fáciles de recordar:

  • #LadinamoYsuscontraseñas100%seguras#
  • Juan+Luis+Sarita-Santi=2PERFECT
  • #SeCENAenCASAtarde_alas11#

Estos consejos son también muy importantes en nuestra vida personal. Los móviles, el correo electrónico, la cuenta del banco, las redes sociales, las plataformas de streaming… Prácticamente todos los dispositivos, webs y aplicaciones que utilizamos hoy en día nos piden una contraseña para poder acceder. Y para muchos, recordarlas todas es prácticamente imposible, por lo que acabamos utilizando passwords demasiado simples que comprometen nuestra ciberseguridad.

Muy importante

No utilizar la misma Password a nivel personal y profesional.

No se debe utilizar el correo corporativo de Codere para temas personales.

Revisa si tu correo (contraseña) ha quedado comprometido en las brechas de seguridad, mediante el siguiente link.

En este artículo se muestran las estadísticas de robo de credenciales como un problema potencial o una amenaza activa a nivel mundial de 2020.


2021 y las principales ciberamenazas

La pandemia ha impulsado un 25% el crimen digital. Según la agencia europea de ciberseguridad ENISA, las motivaciones actuales de los hackers son obtener ganancias financieras ilícitas, el espionaje industrial, la disrupción de sistemas o el chantaje. Además, los ciberdelincuentes están cada vez más especializados; uno roba los datos mientras que otro los monetiza vendiéndolos de forma ilegal.

Por otro lado, el avance del trabajo remoto y la compra online debilitan la seguridad de usuarios y compañías, y se prevé que los ataques se extiendan con mayor rapidez a la vida personal, al tener más dispositivos conectados en casa.

En este contexto, expertos de IBIS Computer destacan las principales amenazas:

Phishing:

Más que reconocido ya en esta sección, el phishing es uno de los ciberataques más comunes debido a los altos niveles de interacción en la comunicación electrónica.

  • Estemos atentos a la procedencia de los correos electrónicos que recibamos.
  • No hagamos clic en enlaces o proporcionemos información confidencial.
  • Mantengamos actualizadas las barreras de seguridad de nuestros dispositivos.

Smishing (phishing basado en SMS):

El smishing es similar al phishing pero ocurre a través de mensajes SMS, normalmente al acceder a algún enlace. Estate muy atento a este tipo de mensajes sospechosos:

  • Tu banco pide que ingreses tu número de seguridad social o le des tus claves.
  • Te piden que programes la entrega de un paquete que no has pedido.
  • Una organización te solicita información confidencial o confirmar credenciales.

Estafas de PDF

Nuestro cerebro asocia los archivos PDF con los negocios y, por lo tanto, es más probable que bajemos la guardia frente a este tipo de archivos y los abramos.

  • Desconfía de las direcciones de correo electrónico genéricas o inusuales.
  • Estate alerta frente a asuntos o títulos genéricos e inusuales.

Relleno de credenciales:

El relleno de credenciales es un ataque dirigido a robar el acceso de los usuarios a través de las credenciales de inicio de sesión.

  • La autenticación de 2 factores es un ‘candado’ adicional para el acceso ajeno.
  • Codere ya cuenta con el soporte de OKTA, con doble check de seguridad.
  • Usa contraseñas diferentes para cada cuenta.
  • Nunca compartas contraseñas con otras personas. Si tienes una cuenta compartida por alguna razón, siempre da la contraseña verbalmente o envía el usuario por mail y la clave por mensaje.

Malware y ransomware:

Todas las empresas mantienen sus datos en servidores conectados a Internet. Solo necesitan es una grieta en tu seguridad y ya pueden realizar el ataque.

  • Asegúrate de mantener actualizado el software y hardware de los equipos.
  • Habilita los complementos de reproducción por clic para evitar que Flash o Java se ejecuten automáticamente.

Base de datos:

La exposición de la base de datos es una brecha para la piratería o el robo.

  • Asegúrate de tener un firewall de base de datos y otro de aplicaciones web.
  • Limita el acceso al servidor, cifra los datos y haz una copia periódica.

Recuerda que toda prevención es poca y que nos “jugamos” mucho en un descuido. Por eso, sigue atentamente las recomendaciones que compartimos en esta sección.


Ni los organismos oficiales se libran de los hackeos

Un reciente fallo de seguridad de la Consejería de Sanidad de Madrid dejó expuestos datos personales y sanitarios sensibles de alrededor de 100.000 ciudadanos de la comunidad, entre ellos, el Rey; el presidente del Gobierno, Pedro Sánchez y otros altos cargos políticos.

Un enlace no encriptado de la web de este organismo público pudiera haber sido la causa de este fallo de seguridad que permitió el acceso al software y a los datos alojados en los portales sanitarios de la Comunidad. Mediante la introducción de un DNI, se accedía a la información personal del usuario como -número de teléfono, domicilio, dónde había recibido la vacuna covid o, hasta en qué brazo se la puso-.

La televisión autonómica de Madrid (Telemadrid) y la asociación de consumidores Facua denunciaron los hechos ante la Fiscalía incidiendo en el grave peligro de esta vulneración de protección de datos personales.

La propia Consejería de Sanidad reconoció la brecha informática, que se suma a otro fallo anterior producido en el sistema de auto-citas Covid al inicio de la campaña de vacunación, que también dejó al descubierto los datos de miles de madrileños.


Los hackeos van a más. Ahora, Glovo

Facebook, LinkedIn, Phone House… y ahora Glovo. La compañía española de delivery, ha sido la última en sufrir un ciberataque que se ha saldado con un gran robo de datos de clientes y repartidores que se han puesto a la venta en la 'dark web', aunque desde la empresa aseguran que no ha habido acceso a la información de las tarjetas bancarias de los usuarios.

Las víctimas de los hackers son cada vez más. Ante esto, es necesario que cada a uno de nosotros actúe como barrera de protección siguiendo las siguientes recomendaciones:

  • Revisar si alguna de estas brechas han afectado a tus datos personales.
  • Jamás utilices tu correo corporativo en las redes sociales. Separa tu vida personal de la laboral.
  • Si tus datos han quedado comprometidos, cambia tu contraseña de inmediato y además activa el doble factor de autenticación en tus redes sociales. De este modo estarás protegiendo tu identidad de los ciberataques.
  • Recuerda seguir las recomendaciones para prevenir ataques de phishing, tanto en tu correo personal como el laboral.
  • Revisa si hay otros datos personales comprometidos como la información de las tarjetas de crédito.
  • Recuerda que la privacidad/Seguridad depende de ti. ¡Debes protegerte!

Phone House, tres millones de clientes en peligro

A la triste y larga lista de grandes empresas que han sufrido ciberataques durante la pandemia, como Facebook o LinkedIn, se suma ahora Phone House. Tras haber robado datos personales de tres millones de clientes, incluyendo nombre, DNI, cuenta bancaria, móvil o dirección, los ciberdelincuentes piden un rescate millonario por no filtrarlos.

Todo comenzó con el modus operandi habitual: los responsables del ransomware, en esta ocasión Babuk, solicitaron un rescate a los responsables de la compañía, quienes se negaron a pagarlo. La respuesta no se hizo esperar y se publicó rápidamente una primera parte de los datos personales robados de casi 1,1 millones de personas, tanto de clientes como de empleados de Phone House.

Una vez producida la filtración, y tal como establece la ley, la compañía ha informado a la Agencia Española de Protección de Datos (AEPD) que ahora debe iniciar una investigación para garantizar que la empresa disponía de todas las medidas de prevención para evitar el delito y asegurarse de que se pondrán en contacto con cada uno de los afectados para informarles y, como ya han hecho, comunicarlo a través de la web 'Have I Been Pwned'

Tras esta brecha de seguridad, las personas afectadas por esta filtración pueden sufrir ataques de phishing tanto de forma inmediata como en el largo plazo.

Mientras, poco pueden hacer, salvo presentar una reclamación en la AEPD por la vulneración de sus derechos de protección de datos, o bien por la vía civil, si considera que se ha producido un perjuicio a causa de la filtración de sus datos, y solicitar una indemnización.


Filtración de millones de datos en Facebook

Los datos de 533 millones de usuarios de Facebook se han publicado en internet. Con esta filtración, cualquiera puede obtener esos datos y usarlos, por ejemplo, para suplantar la identidad de esos usuarios. El robo afecta a 106 países y entre la información filtrada están los identificadores de Facebook, sus móviles, direcciones, biografías y, en algunos casos, la dirección de correo electrónico.

En Facebook afirman que la vulnerabilidad que ha provocado este robo masivo de datos ya se corrigió en agosto 2019 y hablaba de "datos viejos", pero aun así la cantidad de datos filtrados es enorme y su validez sigue siendo una amenaza real para todos los afectados.

Esa información, puede ser usada para ataques de suplantación de identidad en los que tener el correo y el número de teléfono de la víctima es suficiente para los cibercriminales.

Los países más afectados son Egipto (44,8 millones), Túnez (39,5 millones), Italia (35,6 millones) y Estados Unidos (32,3 millones). En el caso de España, casi 11 millones de registros.

Tras Facebook, se filtran datos de 500 millones de usuarios de LinkedIn

En el caso de Linkedin se han filtrado cuatro ficheros de datos que contienen información de más de 500 millones de usuarios de la red profesional.

Esta fuga masiva de información ha dejado expuestos a miles de perfiles que se han puesto a la venta en un foro muy conocido de piratería informática. Los ciberdelincuentes han querido demostrar que son datos auténticos y han colocado en línea dos millones de registros.

La información sustraída contiene nombres completos de los usuarios, direcciones de correos electrónicos, números de teléfono e incluso lugares de trabajo.

¿Qué pueden hacer con esos datos robados?

  • Pueden lanzar una campaña de phishing personalizada como por ejemplo, con la dirección de tu trabajo.
  • Una campaña de malware a través de tu correo electrónico.
  • Al tener el número de teléfono, pueden intentar atacar a través de apps maliciosas.

En estas situaciones, la recomendación es cambiar la contraseña de Facebook Linkedin e incluso la de la cuenta de correo electrónico y añadir en esas cuentas autenticación en dos pasos, con los servicios de Google Authenticator o Microsoft Authenticator por ejemplo.


Phishing: por todos mis compañeros y por mí el primero

A la sombra de las nuevas tecnologías, se han desarrollado novedosas formas de delincuencia. Se trata de expertos en realizar ataques a las empresas aprovechándose de la vulnerabilidad de los usuarios. Su objetivo, encontrar resquicios que pongan en riesgo la seguridad de las compañías a través de lo que aparentemente es un sencillo correo.

En 2019 se reportaron más de nueve millones de correos electrónicos sospechosos a nivel mundial un 67% más que el año anterior, y afectaron al 55% de las organizaciones.

Este incremento es significativo, pero nada comparado con lo que ocurrió en marzo de este año, coincidiendo con la declaración de la pandemia. Las redes de Barracuda alertaron de un aumento del 667% en los intentos de phishing en este mes. Si ya todos sufrimos en diferentes aspectos de nuestra vida, los ciber delincuentes no desaprovecharon la oportunidad de multiplicar sus fechorías.

Las cifras hablan por sí solas: se han perdido más de 12.000 millones de dólares a causa del phishing y de la apropiación de cuentas y datos confidenciales. El equipo de Respuesta a Incidentes del Centro Criptológico Nacional (CCN-CERT) ha detectado más de 24.000 dominios registrados en Internet con los términos “coronavirus”, “corona-virus”, “covid19” o “covid-19”. Algunos tiene fines legítimos pero la gran mayoría realizan campañas de spam, spear-phishing o como servidores de mando y control, C2.

El éxito de un ciberataque se traduce en el fracaso colectivo para la empresa

Nuestra Dirección de Seguridad de la Información Corporativa realiza campañas periódicas de phishing con el objetivo de reforzar la concienciación en materia de ciberseguridad y medir el grado de sensibilidad de los empleados respecto a este tipo de ataques. El éxito de estos ataques supone un fracaso colectivo para la empresa, dado que las credenciales quedan comprometidas y pueden ser una puerta de entrada a todos los sistemas corporativos. Este tipo de ataques ya suponen el 95% de los incidentes de ciberseguridad que sufre una organización.

¿Qué tal nos hemos comportado en las campañas de simulacro de phishing?

Durante los últimos meses, se han realizado distintas pruebas de ataques phishing simulados. Los empleados recibíamos un email, plagado de errores tanto en la dirección de envío, como en la redacción, como con otros detalles sospechosos, que nos pedía pinchar en el enlace del correo electrónico. Al hacerlo, nos redirigía a una página web que imitaba o suplantaba la identidad de una empresa de confianza (incluso en algunas ocasiones, suplantaba a nuestra propia compañía). En ese momento, el empleado estaba muy cerca de comprometer sus credenciales y permitir que el atacante dispusiera de un camino fácil para realizar movimientos invasivos.

Incluso con solo hacer clic en el enlace, se puede descargar un archivo malicioso sin que el empleado sea siquiera consciente de lo que está sucediendo, y puede comprometer los activos del dispositivo.

Te presentamos el número de empleados que han caído una, dos, tres y hasta en las cuatro campañas.

Es urgente mejorar para lograr que ningún empleado caiga en el engaño.





Empleados que ponen en riesgo a empleados

El equipo de Seguridad de la Información ha analizado los resultados obtenidos tras las cuatro campañas de phishing controlado, y nos vamos a centrar en la 3 (abril 2020) y 4 (julio 2020). La buena noticia es que, con casi el mismo número de participantes, las personas que comprometieron sus credenciales pasaron del 6,77% al 2,77%. La mala noticia es que cualquier porcentaje distinto de 0, es una mala noticia

Hay motivos para el optimismo porque el nivel de concienciación de los empleados, en tan solo 3 meses, ha mejorado considerablemente, pero no lo suficiente. Con que solo una persona caiga en la trampa y permita al ciberdelincuente ser más listo, nuestra organización quedará expuesta.

A continuación te presentamos los resultados con detalle, analizando país por país su nivel de concienciación.

La suma de simples gestos marca la diferencia entre el éxito y el fracaso. Observa, tómate tu tiempo, presta atención, dedica todos tus sentidos a la lectura de los correos y no actúes de forma inconsciente ante ellos.


El teletrabajo desafía a las empresas en cibeseguridad

La ciberseguridad debe seguir evolucionando para enfrentar el escenario cambiante que vivimos ‘trabajando desde casa’. Los expertos apuntan a que la anticipación es la mejor arma para evitar riesgos innecesarios.

Asimismo, este periodo de teletrabajo no previsto, ha puesto de manifiesto nuevas necesidades en las organizaciones como la digitalización, la importancia de securizar la información, la urgencia en la formación y concienciación del trabajador en temas de seguridad, así como de contar con planes estratégicos ad-hoc en esta materia para asegurar el negocio.

Estos son algunos de los puntos que las organizaciones no deben desatender en este periodo:

  1. Los empleados, los más vulnerables: gran parte de los empleados de las organizaciones están desempeñando su actividad laboral desde casa en un entorno de equipos IoT, routers no securizados, sistemas desactualizados, etc. Por ello, es necesario realizar una supervisión proactiva que permita saber cómo se está comportando el endpoint y tomar las adecuadas medidas de protección. Además, es clave formar e informar a los empleados sobre las posibles amenazas y phishing, y fomentar el buen uso de las tecnologías.
  2. Amenaza de fuga de información: las empresas deben trabajar en la protección de fugas de información, detectarlas de manera temprana y añadir derechos de uso. Nuevamente, la formación en ciberseguridad de los empleados es clave.
  3. Proteger los servidores y la información: los servidores web tienen que estar protegidos frente a cualquier tipo de amenaza y para ello, las empresas deberán concienciarse de la importancia de tener servidores web seguros, que garanticen la navegación, la confidencialidad y la integridad de los datos que pasan por el servidor, así como la información mostrada en el mismo. Por ello los expertos destacan la importancia de la securización del “dato” (ya esté en el equipo, en la nube o en cualquier dispositivo móvil).
  4. Alerta de cibercrímenes: los ciberdelincuentes van a continuar aprovechado que las personas están aisladas para engañarlas en la venta de productos falsos –muchos de ellos sanitarios-, mediante la difusión de fake news o la desinformación, y a través de amenazas de malware.
  5. Planes estratégicos y de contingencia: las compañías tienen que trabajar con anticipación en sus planes de contingencia y actualizarlos periódicamente. Asimismo, es fundamental detectar cualquier brecha de seguridad con proveedores y terceros, revisando los protocolos para que la cadena de suministro no quede comprometida.
  6. Nuevos modelos de trabajo: el COVID va a hacer que algunas empresas cambien sus modelos de trabajo y se adapten al nuevo entorno. Es posible que –en algunos casos- se tienda a modelos mixtos de teletrabajo y asistencia física, por lo que deberán estar preparadas para ello.

Este periodo dejará un importante poso en las empresas no solo en temas de seguridad, sino en la manera de trabajar los procesos y políticas. Por ello, los expertos apuntan que es una buena oportunidad para la transformación digital y la concienciación sobre seguridad.


CiberCOVID-19: La información siempre con seguridad

La situación de alerta social generada por el COVID-19 a nivel mundial es la circunstancia perfecta para que los ciberdelincuentes realicen sus ataques de phishing a través de servicios de mensajería instantánea, email u otros medios, aprovechando la circunstancia de miedo, cambio de patrones diarios y mayor uso de herramientas online.

De no ser precavidos, se podrían hacer con el control de nuestros dispositivos, acceder a nuestra información y datos personales e incluso cifrarlos. Además, cualquier enlace malintencionado incluido en estos mensajes o correos electrónicos también podría dirigirnos a páginas web que suplantan la identidad de otras organizaciones para robar nuestras credenciales de acceso a un servicio u otra información personal, como el número de la seguridad social, los datos bancarios para el pago de compras o consultas derivadas del COVID-19.

Desde el área de Ciberseguridad de Codere nos dan estas recomendaciones para que el miedo no nos conduzca a actuar sin la precaución necesaria y nos informemos con seguridad:

  • Permanece en alerta y extrema las precauciones para protegerte del malware (cualquier tipo de software malicioso que trata de infectar un ordenador o un dispositivo móvil) y la desinformación.
  • Sentido común. Presta atención a los emails que recibes. La cura del coronavirus NO llegará por mail. Por ello, evita abrir correos y archivos adjuntos sobre el COVID-19, especialmente desde tu cuenta corporativa. No descargues aplicaciones no oficiales para conocer el avance de la pandemia (test, encuestas, rankings, etc.).
  • Prevén la desinformación. No difundas información que no provenga de medios y fuentes oficiales ni difundas contenido no contrastado o que generen alarma.

Especialmente estos días, abre bien los ojos, no caigas en las trampas y colabora frenando las fakenews.

Para cualquier duda sobre ciberseguridad o actividad sospechosa, ponte en contacto con:

ots.corporativo@codere.com


¿Sabes detectar un correo malicioso?

Te mostramos seis sencillas precauciones para proteger tu seguridad y la de la compañía. Seguirlas te llevarán poco tiempo y puede librarnos de muchos problemas:

  1. Remitente
  2. ¿Esperabas un mail de esa persona o entidad? Comprueba que el correo coincida con el de la persona o entidad remitente que dice ser o si está suplantándola.

  3. Asunto
  4. ¿Capta tu atención? La mayoría de correos fraudulentos utilizan asuntos muy impactantes o llamativos, como un pago urgente de facturas.

  5. Objetivo
  6. Si te piden seguir un enlace o descargar un fichero y no tienes claro cuál puede ser el contenido, contacta con el remitente por otro medio que no sea el correo electrónico. NUNCA introduzcas tus CREDENCIALES en un link que viene de un correo. Además, repórtalo a SAU y a Seguridad de la Información.

  7. Redacción
  8. ¿Te resulta sospechoso el contenido? Comprueba si tiene errores ortográficos, parece una mala traducción o simplemente no entiendes el procedimiento.

  9. Enlaces
  10. Si haces clic y te llevan a una página en la que te solicitan usuario y contraseña, NUNCA los introduzcas desde un enlace de un correo.

  11. Adjuntos
  12. El mail puede contener un archivo que tal vez no esperabas o parece sospechoso. NO lo abras, aunque el remitente sea conocido. Si sospechas, ponte en contacto con la persona que te lo envió antes de abrirlo.

    • Si ves algo sospechoso en un mail, REPÓRTALO.
    • Si crees que has hecho clic en un correo malicioso, REPÓRTALO.
    • Nunca uses tu correo profesional para temas personales.
    • Recuerda: la Seguridad depende de todos.
    • Entrenar para detectar, mejorará tus habilidades y te protegerá.

    Ante cualquier duda, contacta con SAU helpdesk@codere.com y con la Oficina Técnica de Seguridad ots.corporativo@codere.com


¡Alerta! Segunda ola de coronacrímenes

Las autoridades policiales advierten sobre la proliferación de estafas a través de Internet en tiempo de coronavirus. De hecho, un reciente informe indica que, si bien en una primera oleada las estafas usaban como reclamo la venta de material sanitario de prevención (como mascarillas, hidrogeles o guantes), en esta segunda, los “coronacrímenes” se enfocan en los fraudes bancarios y distintos organismos han observado un aumento significativo en el número de cuentas de inversión abiertas por clientes minoristas y de operaciones sospechosas.

Entre los fraudes identificados más extendidos destacan:

  • La oferta de servicios de inversión que prometen altas rentabilidades, desde entidades no registradas.
  • La oferta de criptodivisas y criptoactivos, que suelen ser lanzadas como señuelos desde “entidades clonadas”, que utilizan el mismo nombre que otras entidades completamente legales, aprovechándose de su reputación.
  • Los productos financieros de alto riesgo, como CFD (contratos por diferencias) con alto apalancamiento, recurriendo a anuncios insertados en medios de comunicación o a través de plataformas populares de anuncios clasificados, para aparentar fiabilidad.
  • Información falsa a inversores, sobre las consecuencias de la expansión del virus en los mercados financieros, asegurando –falsamente- contar con servicios para “identificar y gestionar los riesgos potenciales y aprovechar así las posibles oportunidades”.

En tiempo de coronavirus, alerta y prudencia. Desconfía de cualquier oferta y fuente que resulte aparentemente rentable y sigue las recomendaciones de las instituciones y entidades financieras oficiales.


La ciberseguridad también es cosa de niños

Durante este periodo de encierro en los hogares, los más pequeños de la casa han tenido un acceso más fácil y frecuente a Internet que nunca. Debemos ser conscientes de los riesgos que esto entraña si no tomamos las medidas necesarias, como un tutelaje por parte de los padres, la navegación mediante accesos restringidos y especialmente creados para menores o el asegurarnos su mayor conocimiento de la red a través de la formación en ciberseguidad para los más pequeños que propone Google a través de su plataforma Google Interland.

¿En qué consiste?

La plataforma Google Interland enseña, a través del juego y mediante cuatro aventuras, diferentes conceptos sobre seguridad en la red, como evitar caer en trampas y estafas; aprender sobre contraseñas; desarrollar comportamientos saludables en las redes sociales o entender los peligros de compartir información personal en la plataforma. Además del juego, hay una web con pautas y ayuda para los padres (accede).

Lo mejor de Google Interland es que los pequeños irán adquiriendo conciencia y conocimientos del funcionamiento de internet a través del juego, superando una serie de pruebas y niveles de manera didáctica y entretenida. Estos son los juegos adaptados a las distintas temáticas:

  • Río de Realidad: pensado para que los niños aprendan a reconocer estafas y mentiras en la red (correos falsos o phishing) y cómo actuar frente a las mismas.
  • Torre del Tesoro: aprenderán sobre la importancia de crear contraseñas seguras y recibirán algunos tips para evitar ser hackeados.
  • Montaña Sensata: para que extremen el cuidado sobre la información personal que comparten en la red.
  • Reino Amable: sobre comportamientos en las RRSS, persigue impulsar comportamientos positivos y amables, y les invita a bloquear a aquellas personas que les ataquen, insulten o falten el respeto.

Más alerta que nunca. Pautas de prevención.

Te facilitamos unas pautas generales para evitar ser víctima de fraudes online, durante estos días en los que el número de ciberataques está creciendo:

  • No abras correos de usuarios desconocidos o que no hayas solicitado. Elimínalos de forma directa e inmediata y reporta la incidencia a través del correo ots.corporativo@codere.com
  • En ningún caso respondas a estos correos.
  • Extrema la precaución al seguir enlaces o descargar archivos adjuntos en correos electrónicos, SMS, mensajes en WhatsApp o redes sociales, aunque sean de contactos conocidos.
  • Desconfía de los correos que te pidan datos personales, contraseñas o tus datos financieros.
  • Ahora que muchos estamos teletrabajando, recuerda más que nunca mantener actualizado antivirus y comprueba que está activo.
  • Asegúrate de disponer de una contraseña robusta.
  • Piensa, no hay prisa. Tómate el tiempo necesario para realizar las comprobaciones necesarias.

Top 10 de los fraudes más utilizados durante la pandemia

A continuación se presentan los top 10 de los fraudes más empleados por los ciberdelincuentes en tiempos de pandemia:

  1. Consejos para “detener” el Coronavirus (WhatsApp): mensajes con enlace a páginas web donde “expertos” soluciones y recomendaciones. Muchos contienen enlaces maliciosos, o bien son bulos. En algunos casos solicitan dinero o nuestros datos para ayudarnos.
  2. Manda “Ayuda” al teléfono o email xxx (redes sociales): persiguen aprovecharse de la labor de los sanitarios y solicitan donaciones. No todas las iniciativas son un fraude, pero debemos ser muy cuidadosos y contrastar la veracidad de la información.
  3. Corona-phising (correo electrónico): el ciberdelincuente suplanta la identidad de una institución reconocida (OMS o cualquier otra) y trata de ganarse nuestra confianza para recabar datos personales o bancarios para infectarnos con un malware. Por ejemplo, un hospital nos informa de que podemos ir a hacernos un test de diagnóstico y, para ello, hagamos clic en un enlace sospechoso.
  4. Corona-smishing (SMS): Haciéndose pasar por el Ministerio de Trabajo o cualquier otra institución, comparten un enlace para que facilitemos datos personales. En España, el pasado 27 de marzo se detectó un fraude vinculado con el ERTE.
  5. Estafas en la venta de material sanitario (compras online): Se han identificado varias estafas principalmente relacionadas con la venta online de mascarillas.
  6. Coronaware (ransomware): Se trata del malware “Coronavirus” y lo recibimos a través de archivos de vídeo o documentos adjuntos. La consecuencia: infecta nuestros equipos y toman el control sobre ellos. Es muy frecuente recibirlo por email, pero también es posible a través de mensajería instantánea o redes sociales.
  7. “Corona-cheques” del Gobierno: A través de mensajería instantánea se recibe un mensaje, supuestamente del Gobierno, donde se indica que regalan cheques para sobrellevar mejor las consecuencias de la pandemia, e invitan a hacer clic en un enlace. Es esencial mantenerse alerta siempre, y contrastar en los canales oficiales la veracidad del contenido.
  8. Ofertas de trabajo fraudulentas: Tratarán hacernos creer que se existen ofertas de trabajo idóneos, para lo que nos solicitarán datos personales e incluso un anticipo económico para que puedan enviarnos material.
  9. Soporte técnico (teléfono): Un supuesto servicio técnico nos llama para ofrecer ayuda estos días de teletrabajo. Tras seguir sus indicaciones, obtienen nuestras credenciales e instalan software malicioso.
  10. “Servicios gratuitos” para llevar mejor la cuarentena: falsos cupones, promociones, suscripciones gratuitas, descuentos, o servicios de streaming gratis. Nos solicitarán datos personales e incluso una pequeña contribución económica.

Estos días, extrema las precauciones. Los ciberdelincuentes no descansan y crean sus oportunidades de forma constante. No abras archivos de forma compulsiva y desconfía de los contenidos.

Como en cualquier ataque, la ayuda de todos es imprescindible para detenerlo.


Robo de credenciales Office 365

Durante los últimos días hemos detectando una nueva forma de ciberataque, esta vez relacionado con el robo de credenciales de Office 365.

Se realiza a través de un correo electrónico fraudulento, que suplanta al área de IT. Nos indica que nuestra contraseña ha expirado y solicita que procedamos a modificarla, todo ello con el objetivo de robar nuestras claves de acceso.

Si recibes un correo de estas características, informa a SAU y a la Oficina Técnica de Seguridad a través de los correos helpesk@codere.com y ots.corporativo@codere.com, y reenvíaselo a ots.corporativo@codere.com.

Gracias por colaborar. Nuestra seguridad depende de todos.


Alerta en España. Ataque phishing emulando a la Seguridad Social

Una de las formas más recientes que están tomando los ataques de phishing en España es la de correo remitido por la Seguridad Social. Está dirigido a los empleados afectados por un ERTE y anuncia el reembolso de 354,76 euros.

Para ello, el email nos pide pulsar un link y facilitar la numeración de nuestra tarjeta de crédito. Si seguimos lo pasos que nos indican, corremos el riesgo de terminar pagando precisamente esa cantidad a los ciberdelincuentes autores de este delito.

Recuerda que la Tesorería General de la Seguridad Social dispone de toda la información que precisa para realizar la transferencia a la misma cuenta bancaria que facilitaste a Codere para el ingreso de tu nómina.




Problemas de privacidad y seguridad con Zoom

Durante estos días de confinamiento, se ha popularizado el uso de distintas herramientas colaborativas para mantener videoconferencias, entre ellas, Zoom.

Recientemente se han denunciado problemas de seguridad, y también de privacidad de los datos, así como la irrupción de trolls en las videoconferencias y registro de dominios falsos que utilizan el nombre de la herramienta para distribuir malware.

Haz clic y conoce las recomendaciones realizadas por Zoom para mantenerte protegido


El Servicio Público de Empleo Estatal de España alerta de un fraude vía sms

Si recibes un SMS comunicándote la aprobación de un ERTE y te solicita datos bancarios, no respondas, es una estafa.

Será la propia compañía la que deba facilitar esa información al SEPE para que se pueda recibir la prestación derivada de un ERTE.