enero 17, 2022

Revista Digital Seguridad y Defensa en el Hemisferio

Transmitiendo conocimiento a través de la experiencia.

Ciberataques de Ingeniería Social. ¿Cómo protegernos?

Por Alejandro Perugorria

Según la firma AVAST*, empresa dedicada al desarrollo de programas antivirus,

“La definición de ingeniería social abarca varios tipos de manipulación psicológica. En ocasiones, la ingeniería social puede tener resultados positivos, como fomentar comportamientos saludables.

En términos de seguridad de la información, sin embargo, la ingeniería social a menudo se utiliza únicamente para beneficio del atacante.

En estos casos, la ingeniería social implica manipulación para obtener información confidencial, como datos personales o financieros. Por tanto, la ingeniería social también puede definirse como un tipo de ciberdelito.”

A través de los ciberataques de ingeniería social, los ciberdelincuentes buscan tomar el control de los dispositivos de las víctimas, sean estos PC, Smartphone, tabletas, etc. y que estas últimas revelen información confidencial.

En este artículo tratamos de contarte cuales son los principales ciberataques de ingeniería social y te brindamos algunos consejos útiles para evitar caer en el engaño y protegerse de ellos.

¿Qué son los Ciberataques?

Podríamos definir al ciberataque, como un ataque planificado y organizado contra el sistema informático de una institución, empresa o personas, con el objetivo de obtener información, bloquearlo, o simplemente dañarlo.

Se basan en un conjunto de técnicas de filtración y captación de la información contenida en los sistemas informáticos.

En el caso de la ingeniería social por medio de ciberataques, busca que los usuarios o víctimas, revelen información personal.

Quienes lo ejecutan, poseen un alto conocimiento técnico en el uso de diferentes softwares, que le permiten tomar el control de otros dispositivos a través del engaño o la intromisión de un virus malicioso y a partir de allí lograr su objetivo, la captación de todos nuestros datos.

¿Qué tipos de ataques existen?

Como lo mencionamos precedentemente, en los ciberataques de ingeniería social se persigue manipular psicológicamente a quienes utilizan internet y se conectan a ellas por medio de diferentes dispositivos. Las redes sociales y los correos electrónicos, son quizás los principales blancos de ataque.

La forma más utilizada por los ciberdelincuentes, es lograr que los usuarios cliquen en un enlace que reciben y que normalmente llama la atención al usuario, y a partir de allí, descarguen un archivo o accedan a un determinado sitio, cuyo objetivo no es más que infectar el equipo con diferentes fines y lograr así, obtener información confidencial del usuario por diferentes métodos.

 Completar formularios, o registrarse para obtener algún premio fraudulento, es uno de los métodos más comunes. ¿Qué información desean obtener? Básicamente, datos personales, cuentas, de correo, libreta de direcciones, acceso a cuentas bancarias y otros datos de interés.

Es oportuno mencionar, que este artículo intenta brindar una introducción sobre el tema del ciberdelito mediante ingeniería social, razón por la cual es aconsejable, profundizar sobre el mismo, a través de la investigación y la lectura de diferentes artículos.

A fin de lograr su objetivo, los ciberdelincuentes pueden emplear alguno de los ciberataques que mencionamos a continuación.

Ataque de Phishing:  Es de los más frecuentes y se realiza solicitando usuario y contraseña. Se propaga mediante correo electrónico, redes sociales y aplicaciones de mensajería. Básicamente el atacante intente obtener en forma voluntaria de nuestra parte, por medio del engaño, nuestros datos de acceso. Suele llegar un correo haciendo mención a que debemos cambiar nuestros password, o de lo contrario nuestra cuenta quedara bloquead.

Vishing: Se lleva a cabo mediante llamadas de teléfono. Consiste en el uso de la línea telefónica convencional y de la ingeniería social para engañar a las personas y obtener información delicada como puede ser información financiera o información útil para el robo de identidad. Los secuestros virtuales, se dan con esta modalidad.

Smishing: Se difunde con el envío de mensajes SMS. Es un tipo de delito o actividad criminal basado en técnicas de ingeniería social enviando mensajes de texto dirigidos a los usuarios de telefonía móvil. Se trata de una variante del phishing

Baiting: También conocido como gancho o cebo, intenta atraer la curiosidad de las víctimas a través de falsos anuncios y páginas webs que promocionan diferentes concursos o premios, que en la realidad no existen, pero que motivan al usuario a ingresar o registrarse en ellos. Al igual que los anteriores el fin último, es obtener datos que le permitan al ciberdelincuente cumplir su objetivo.

Shoulder surfing:Mirar por encima de los hombros”, Es una técnica mediante la que el ciberdelincuente consigue información de nosotros justamente mirando por encima del hombro desde una posición cercana. En muchas oportunidades cuando uno se desplaza en transporte publico y hace uso de su celular, no se presta atención y alguien nos puede estar observando, tratando de obtener datos de interés para llevar adelante actividades criminales.

Dumpster Diving: Se conoce como el proceso de buscar en nuestra basura para obtener información útil. En muchas oportunidades descartamos información digital de la manera no correcta y esta información queda registrada en la red. Es allí en donde el ciberdelincuente busca restos de información que le permitan acceder a nuestros datos.

Spam: Sin duda uno de los más conocidos y frecuentes. Consiste en el envío de mensajes no deseados. La mayoría tiene una finalidad comercial, propagandas, anuncios, descuentos tentadores y otros. Algunos pueden contener malware.

¿Qué hacer para protegerse?

Sin dudas, la mejor protección es contar con un potente antivirus. Es normal descargar versiones gratuitas de las muchas ofertas que existen en la red. Lo recomendable es contar con una versión de pago y original, ya que las free, se encuentran limitadas en sus funcionalidades, no cuentan con toda la biblioteca de virus existentes y carece del soporte de la firma desarrolladora.  

El único responsable de permitir o no acceso a su equipo es el propio usuario.

Debemos tener una real conciencia de ciberseguridad y aplicar diferentes métodos para protegernos de los ciberataques.

Al recibir un correo electrónico, no abrir si el remitente no es de confianza desconocido. Realizar un filtro y enviar estos correos a las carpetas de no deseados o directamente eliminar. Los servicios de correos, poseen esta funcionalidad de filtrar las URL(S) o direcciones de correo que nosotros les indiquemos.

Tener presente aquellos mensajes que contengan peticiones urgentes, promociones, ofertas muy atractivas, errores gramaticales o direcciones de correo no oficiales. Normalmente son correos Span o de fraude.

Si por alguna razón no te resistes a registrarte en alguna promoción, ingresar a una ventana de incognito y utilizar una cuenta de correo alternativa.

Verificar siempre los enlaces o URL(s) a los cuales nos invitan a ingresar. Los organismos oficiales, como por ejemplo universidades, dependencias judiciales y otras entidades como las bancarias, siempre van a estar identificados al inicio de las url(s) con estándar HTTPS, un protocolo de comunicación de Internet que protege la integridad y la confidencialidad de los datos de los usuarios entre sus ordenadores y el sitio web y no con el HTTP.

Si nos envían un adjunto, antes de descargarlo, es recomendable analizar el o los archivos con un antivirus.

Si somos objeto de un llamado telefónico, no ceder ante las presiones de quienes nos llaman con fines maliciosos. Ante este tipo de situaciones, lo mejor es ponerse en contacto a la brevedad con las Fuerzas de Seguridad.

Al conectar un dispositivo USB a nuestro pc, escanear el mismo con un antivirus. Del mismo modo evitar trasladar información de carácter personal en estos dispositivos externos. En caso de perdida, dejamos expuestos nuestros datos personales.

Activar el filtro antispam en la configuración de nuestra cuenta de correo electrónico.

Evitar utilizar la misma contraseña en diferentes aplicaciones. Es normal, el empleo de la misma contraseña en diferentes cuantas a los que estamos subscritos.

Asegurarse de utilizar contraseñas seguras, gestores de contraseñas o sistemas de autenticación de dos o más factores. Cambiar la misma con determinada frecuencia.

No reenvíe mensajes de correo o WhatsApp, con contenido dudoso y que solicitan ser reenviados a todos sus contactos y no cortar la cadena. Este tipo de mensajes, conocidos como hoaxes, pretenden avisar de la aparición de nuevos virus, transmitir leyendas urbanas o mensajes solidarios, difundir noticias impactantes, etc.

Es fundamental informarse sobre la aparición de nuevas técnicas que amenazan la seguridad de su equipo informático, para tratar de evitarlas o de aplicar la solución más efectiva posible.

Finalmente, es importante desde los organismos oficiales, implementar políticas de difusión a través de diferentes programas que permitan difundir este tipo de temas en la población más vulnerable que son los niños y en muchas oportunidades son el objetivo principal de los ciberdelincuentes.

Conclusión

La ciberseguridad es un proceso continuo. No es necesario ser experto en seguridad informática y muchas veces exige aprender sobre las propias experiencias.

Las constantes amenazas existente, obliga a los usuarios y las organizaciones a centrar su atención en el grado de vulnerabilidad y en las herramientas de seguridad con las que se cuentan para contrarrestar los posibles ataques informáticos, los que luego se pueden convertir en grandes estafas o pérdidas de información.

El mayor éxito de los ataques, siempre se da en el eslabón más débil y difícil de proteger, “El usuario” y en particular los niños. Se trata de uno de los objetivos que más han incentivado a los ciberdelincuentes, ya que tal como ellos lo consideran, son una presa fácil de manipular.

Sin importar el proceso o la tecnología empleada, finalmente el evitar los ataques queda en manos del usuario.

Webgrafía de consulta

https://www.avast.com/

https://platzi.com/

https://www.udemy.com/

www.observatoriociberdeseguridad.com

Deja un comentario

Tu dirección de correo electrónico no será publicada.