Ataques por Ingeniería Social

Los ataques por ingeniería social se basan en un conjunto de técnicas dirigidas a nosotros, los usuarios, con el objetivo de conseguir que revelemos información personal o permita al atacante tomar control de nuestros dispositivos. Existen distintos tipos de ataques basados en el engaño y la manipulación, aunque sus consecuencias pueden variar mucho, ya  que suelen utilizarse como paso previo a un ataque por malware.

El ciberdelincuente enviará un mensaje suplantando a una entidad legítima, como puede ser un banco, una red social, un servicio técnico o una entidad pública, con la que nos  sintamos confiados, para lograr su objetivo. Estos mensajes suelen ser de carácter urgente o atractivo, para evitar que apliquen el sentido común y se lo piensen dos veces.

¿Qué es Phishing?

El Phishing es una técnica de captación ilícita de datos personales a través de correos electrónicos o páginas web que imitan/copian la imagen o apariencia de una entidad bancaria/financiera (o cualquier otro tipo de empresa de reconocido prestigio). Podemos entender el Phishing como “pesca de datos”, al asimilar el sonido de “phishing” con la palabra “fishing” (= pesca).

Reconocer, identificar y prevenir la suplantación de identidad (phishing) es necesario para no caer en las trampas de los ciberdelincuentes. 


Phishing

Suele emplearse el correo electrónico y  redes sociales.

Vishing

Se lleva a cabo mediante llamadas de teléfono.

Smishing

El canal utilizado son los SMS.

¿Cómo prevenir el Phishing?

Utilice contraseñas robustas 

Compruebe regularmente el uso de su cuenta para asegurarse que todos los accesos son legítimos. En caso de detectar algo sospechoso, no dude en ponerse en contacto con el administrador de su dominio. 

No utilice los enlaces incluidos en los correos electrónicos que conducen “aparentemente” a las entidades, especialmente si sospecha que el mensaje podría no ser auténtico. Diríjase directamente, a través de su navegador, a la página web de la entidad o empresa. 

Asegúrese de tener el navegador web actualizado y con los últimos parches de seguridad instalados.



Antes de facilitar cualquier dato sensible (datos bancarios, números de tarjetas de crédito, número de la seguridad social, etc...) asegúrese de que se encuentra en una web segura. (la dirección web que aparece en la barra de navegación comienza con el protocolo “https” y en la parte inferior de la página aparece un candado.) 

¿Qué es la verificación de dos pasos ó doble factor?

La verificación en dos pasos reduce drásticamente las posibilidades de que otra persona robe la información personal de tu cuenta.

¿Por qué? Porque la persona que quiera interceptar tu cuenta no solo debería saber la contraseña y el nombre de usuario, sino que, además, debería disponer de tu teléfono.

Si aún no está protegiendo sus cuentas más personales con autenticación de doble factor, debería hacerlo.  Ya que es una línea de defensa adicional más fuerte que la contraseña más segura y, es extremadamente importante para bloquear hackeos y ataques a sus datos personales. 

Tipos de Verificación de dos pasos

SMS

Casi todos los sistemas de autenticación de dos factores utilizan SMS de forma predeterminada. Dependiendo de la aplicación o el servicio, lo encontrará en algún lugar de la configuración, dentro de la pestaña de Seguridad. Una vez activado, deberá ingresar su contraseña y un número de teléfono móvil. 

Aplicaciones de autenticación

Las aplicaciones de autenticación generan códigos que deben ingresarse cuando se le solicite. Sin embargo, en lugar de enviarlos a través de SMS sin cifrar, se generan dentro de una aplicación y ni siquiera se necesita una conexión a Internet para obtener una.  

Segundo factor universal 

En lugar de un código digital, el segundo factor es una clave de seguridad basada en hardware. Deberá solicitar una clave física para usarla, que se conectará a su teléfono o PC vía USB, NFC o Bluetooth. 

 Biometría 

Un mundo sin contraseña donde todas las aplicaciones y servicios se autentican mediante una huella digital o un escaneo facial. 

Baiting o Gancho

El Baiting, también conocido como “cebo”, se sirve de un medio físico y de nuestra curiosidad o avaricia. Utilizando un cebo, los atacantes consiguen que infectemos nuestros equipos o compartamos información personal.

El medio más utilizado son los dispositivos USB infectados que los atacantes colocan en sitios estratégicos, como lugares públicos con mucha afluencia de personas o en la entrada de las empresas.  Otro método consiste en utilizar anuncios y webs con las que promocionar concursos y premios que nos incitan a compartir nuestros datos o descargar software malicioso.

Conseguir que los usuarios conectemos estos dispositivos infectados en nuestros equipos para ejecutar malware con el que robar nuestros datos personales y/o tomar control del equipo, infectar la red y llegar al resto de dispositivos.

Shoulder surfing o mirando por encima del hombro

Es una técnica mediante la que el ciberdelincuente consigue información de nosotros, como usuarios concretos, mirando por encima del hombro” desde una posición cercana,  mientras que utilizamos los dispositivos sin darnos cuenta.

La opción más segura es evitar que terceros tengan visión de nuestra actividad y, en sitios públicos, eludir compartir información personal o acceder a nuestras cuentas. También se recomienda utilizar gestores de contraseñas y la verificación en dos pasos para añadir una capa extra de seguridad a las credenciales. 

Finalmente, debemos cerciorarnos de que no hay terceras personas observando nuestro dispositivo, especialmente a la hora de ingresar datos personales. Podemos utilizar medidas físicas, como los filtros “anti-espía”. Se trata de una lámina fina que podemos colocar sobre la pantalla de nuestro dispositivo para evitar que terceros puedan ver su contenido desde distintos ángulos.

Dumpster Diving o rebuscando en la basura

En ciberseguridad, se conoce como el proceso de “buscar en nuestra basura” para obtener información útil sobre nuestra persona o nuestra empresa que luego pueda utilizarse contra nosotros para otro tipo de ataques.

No dispone de un medio de propagación, pero está dirigido principalmente a grandes organizaciones o a individuos en concreto de los que se pueda obtener información sensible. El usuario afectado podría haber tirado a la basura documentos importantes o información personal muy valiosa para un atacante. 

Su objetivo son documentos, anotaciones y demás  información sensible que hayan podido tirar a la  basura por descuido, como números de tarjetas de crédito, contactos, anotaciones con credenciales, etc. También buscan dispositivos electrónicos desechados  a los que acceder y sacar toda la información que no haya sido borrada correctamente.

Spam o correo no deseado

Consiste en el envío de grandes cantidades de mensajes o envíos publicitarios a través de Internet sin haber sido solicitados, es decir, se trata de mensajes no deseados. La mayoría tienen una finalidad comercial, aunque puede haberlos que contengan algún tipo de malware.

Los objetivos son muy variados. Desde el envío masivo de mensajes publicitarios, hasta maximizar las opciones de éxito de un ataque de tipo phishing a una gran población, o tratar de infectar el mayor número posible de equipos mediante malware.

La recomendación es nunca utilizar la cuenta de correo electrónico principal para registrarnos en ofertas o promociones por Internet. Además, es fundamental configurar el filtro antiSpam para evitar la recepción de este tipo de mensajes. Otros medios, como las redes sociales, también cuentan con medidas de protección similares pero lo mejor es ignorar y eliminar este tipo de mensajes.


Fraudes online

La ingeniería social es utilizada frecuentemente para llevar a cabo todo tipo de fraudes y estafas online con las que engañarnos a los usuarios para que revelemos nuestros datos personales, o con las que obtener un beneficio económico a nuestra costa. Existen una gran variedad de fraudes, y sus objetivos y medidas de protección pueden variar de un tipo a otro.

Para aprender a identificarlos y a actuar ante ellos, la OSI pone a nuestra disposición una guía para aprender a identificar fraudes online, donde se incluye: falsos préstamos, tiendas online fraudulentas, falsos alquileres, falso soporte técnico, sextorsión y muchos otros.