
Ingeniería Social
Podríamos pensar que el método más utilizado y más efectivo al
momento de lanzar ataques informáticos sería una técnica de
hackers muy avanzada o algún virus altamente peligroso y complejo...
Pero no, la manera más efectiva en la que personas mal
intencionadas logran comprometer la seguridad de sistemas
informáticos es aprovechándose del eslabón más vulnerable
en una infraestructura de IT, en otras palabras, el usuario.
Seguros muchos han recibidos correos de sus bancos, universidades,
trabajos u otras instituciones advirtiendoles de los riesgos de
phishing o preparando el personal en caso de ser víctimas de ingeniería
social y comprometer la seguridad y privacidad de los sistemas
informáticos del organismo, esto tiene sus razones.
El phishing es una técnica utilizada por ciberdelincuentes para
engañar al usuario y robarle información sensitiva, ya sean datos
personales o liados a su cuenta dentro del sistema. Los atacantes
utilizan distintas técnicas de Ingeniería Social para obtener
contraseñas, nombres de usuario, datos de localización, información
bancaria y tarjetas de crédito, números de teléfono, credenciales de
redes sociales y/o cualquier otro tipo de información que pueda
exponer la privacidad y seguridad del usuario. El objetivo de los
malhechores es obtener la información para luego se hacer pasar
por usuarios legítimos y poder tener acceso a los servicios o
plataformas de la víctima, una vez dentro podrá obtener información,
robar dinero, leer emails o tener acceso a información confidencial
y finalmente violar la privacidad del usuario.
La finalidad del atacante al utilizar distintas técnicas de
ingeniería social es de personificar una entidad legítima o real,
por lo general creando un sitio web malicioso y haciéndose pasar
por el banco, la universidad o cualquier otra plataforma y engañar
al usuario para que este finalmente introduzca o dé sus datos al
sitio web falsificado. Entre las conocidas técnicas de ingeniería
social utilizadas podemos mencionar los correos electrónicos, en
el que el atacante dice ser parte de la empresa o institución y
en el que pide al usuario que le envíe sus datos personales, o
que debe dar click a un enlace creado por el atacante que va a
re-dirigirnos al sitio peligroso. Este sitio web puede haber
sido diseñado de manera que puede verse idéntico al sitio web
genuino, sin embargo está creado para robar información del usuario,
lo que puede provocar el robo de identidad. De manera similar los
atacantes pueden utilizar algún otro sistema de mensajería instantánea,
SMS o llamadas telefónicas.
Otro de los posibles objetivos de un atacante al utilizar phishing
es de esparcir malware, adware o algún virus en general, para
tomar control del dispositivo del usuario o en su defecto robar información.
Según Karspersky, 482 millones de intentos de ataques fueron
detectados en 2018, frente a unos 250 millones el año anterior.
Los atacantes se valen de eventos o productos que estén “a la moda”
para llamar la atención del usuario, por ejemplo se detectaron
millones de intentos de robo de información aprovechándose de la
Copa del Mundo de Rusia 2018, o el cambio de legislatura GDPR en
Europa, o la puesta en venta del nuevo iPhone, etc. Otro foco de
actividad es el mercado de las criptomonedas.
No es sencillo detectar intentos de phishing o mensajes fraudulentos
cuando diariamente recibimos decenas de correos electrónicos de
las distintas instituciones de las que somos parte o de las
plataformas en la que estamos inscritos, pero aquí les dejo una
lista de consejos e ítems a verificar que podrían indicar la
presencia de un mensaje malicioso:
- Si recibimos un email de nuestro banco u alguna otra institución formal debemos verificar el dominio del que està siendo enviado el correo, por ejemplo @[nombredelbanco].com, @[nombredelauniversidad].pa.com, @[ministerio].gob.pa, etc. Si recibimos un mensaje que nos pida información personal de una dirección tipo @gmail.com, @hotmail.com, etc. es muy probable que se trate de phishing.
- Verificar que el sitio web al que vayamos a introducir nuestra información es efectivamente una versión segura, por ejemplo que el enlace comience por https:// y que junto al enlace en el navegador aparezca un candado. Esto nos dice que el sitio web posee un certificado y la comunicación está asegurada.
- Si recibimos un correo de un remitente desconocido que contiene archivos adjuntos que no pedimos, o archivos innecesarios con extensiones extrañas, no abrirlos!
- No proporcione información confidencial o comprometedora a nadie por teléfono, en persona o a través del correo electrónico.
- Verifique el enlace o el nombre del sitio web al que va a acceder, por ejemplo verificar que está yendo a www.google.com y no a www.gooogle.com o www.goolge.com. Este tipo de ataques se conocen como typosquatting, y se basan en utilizar nombres de dominio muy parecidos al sitio legítimo, para luego crear un sitio web muy parecido para llevar a cabo el robo de información.
Podría mencionar muchos consejos más, pero el mensaje final de esta entrada
es: siempre desconfiar de los mensajes que recibimos y verificar tres
veces antes de introducir información sensitiva dentro de un sitio web,
solo toma unos segundos!
~ Boris Antonio.