por Felipe Jiménez, Director Técnico de ieducando

Hoy en día está más que demostrado que, cada vez menos, los ciberdelincuentes utilizan sofisticados métodos con caros sistemas para el robo de cuentas o cualquier otro tipo de información. Es por ello que en la actualidad nos enfrentamos a un nuevo reto de seguridad: el Hacking Social.

Sabemos a ciencia cierta que el eslabón más débil en la cadena de seguridad de la red es el usuario. La ingeniería social aprovecha esta debilidad para, de una forma casi indetectable, obtener la información que deseen de nosotros.

Pero, ¿sabemos qué es la Ingeniería social?

La Ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Es una técnica que pueden usar ciertas personas, tales como investigadores privados, criminales, o delincuentes informáticos, para obtener información, acceso o privilegios en sistemas de información que les permitan realizar algún acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos.

Dicho esto, la Ingeniería social que tratamos aquí es la basada en Humanos, que por sus propiedades e independencias tecnológicas de gran escala puede utilizarse, tanto para hacerle confesar algunas pistas sobre las preguntas de los exámenes como para obtener la clave de acceso a la red informática de una financiera privada.

Otro delito a la orden del día: el phishing o suplantación de identidad

Se trata de un término informático que denomina un modelo de abuso informático y que se comete mediante el uso de un tipo de ingeniería social, caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña, información detallada sobre tarjetas de crédito u otra información bancaria). El cibercriminal, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, algún sistema de mensajería instantánea o incluso utilizando también llamadas telefónicas.

Es una de las técnicas más usadas en el hacking social. Con la cantidad de datos que compartimos hoy en día en las redes sociales, una persona malintencionada puede hacerse pasar por un antiguo compañero de clase, un compañero de trabajo o cualquier otra persona a la que en poco tiempo nos atreveremos a revelarle datos e información que nunca facilitaremos a un desconocido.

 

Características de intentos de suplantación de identidad o phishing

  • Peticiones de información personal en mensajes de correo: La mayoría de las empresas legítimas tienen como política no pedir información personal a través del correo electrónico. Debes sospechar de los mensajes que pidan información personal, aunque parezcan legítimos.

  • Términos que denotan urgencia: El tono del lenguaje de los mensajes de correo de suplantación de identidad (phishing) suele ser cortés y servicial. Casi siempre intentan que se responda al mensaje o que se haga clic en el vínculo incluido. Para aumentar el número de respuestas, intentan crear una sensación de urgencia para que responda inmediatamente sin pensar. Habitualmente, los mensajes de correo malintencionados no están personalizados, mientras que los mensajes válidos procedentes de los bancos y empresas de comercio electrónico sí suelen estarlo.

  • Datos adjuntos: Muchos intentos de suplantación de identidad (phishing) piden que se abran datos adjuntos, que pueden infectar el equipo con un virus o spyware. Si se descarga spyware en el equipo, puede que grabe la secuencia de teclas que presiona para iniciar sesión en sus cuentas personales en línea. Por ello, debes guardar primero los datos adjuntos que desees ver y, a continuación, examinarlos con un programa antivirus actualizado antes de abrirlos.

  • Vínculos falsos o sospechosos: Los creadores de los mensajes de suplantación de identidad (phishing) usan técnicas tan sofisticadas para crear vínculos engañosos que no es posible, para una persona común, distinguir si un vínculo es o no legítimo. Siempre es mejor escribir en el explorador la dirección web que se sabe que es la correcta. Además, puedes guardar esta dirección en la carpeta de Favoritos del explorador. No copies y pegues direcciones web de un mensaje en el explorador.

  • Máscaras de vínculos: Aunque el vínculo en el que se le apremia a hacer clic pueda contener parte o todo el nombre de una empresa real, el vínculo puede estar "enmascarado". Es decir, el vínculo que se ve no lleva a esa dirección sino a otra diferente, habitualmente a un sitio web falsificado.

 

Métodos de protección ante estos ataques:

  • Nunca respondas a mensajes de correo que soliciten información personal: No confíes nunca en ningún mensaje de correo procedente de empresas o personas que pidan información personal o que la actualice o la confirme. En su lugar, usa el número de teléfono de algún extracto para llamar a la empresa. No llames a ningún número que aparezca en el mensaje de correo. De forma similar, nunca proporciones información personal a nadie que llame sin que lo hayas solicitado.

  • No hagas clic en los vínculos de mensajes sospechosos: Es posible que el vínculo no sea de confianza. En su lugar, visita los sitios web escribiendo su dirección URL en el explorador o usando el vínculo de Favoritos. No copies vínculos de los mensajes ni los pegues en el explorador.

  • Asegúrate de que el sitio web utilice cifrado: La dirección web debe ir precedida por https:// en lugar del habitual http:// en la barra de direcciones del explorador. Además, haz doble clic en el icono de candado de la barra de estado del explorador para mostrar los certificados digitales del sitio. El nombre que sigue a “Emitido para” en el certificado debe coincidir con el sitio en el que piensa que está. Si sospechas que un sitio web no es el que debe ser, abandónalo inmediatamente e informa de ello. No sigas ninguna de las instrucciones que contenga.

  • Contrata métodos de protección adicionales: Muchas empresas de seguridad tienen métodos para detectar amenazas conocidas y evitar que un usuario incauto abra un enlace fraudulento o comparta información de la empresa sin tener que hacerlo.

Por todo ello, debemos tomar medidas cuando naveguemos por la red, sobre todo, cuando sean menores los que se encuentren usando los dispositivos. ¡Toda precaución es poca!

Fuentes consultadas: Centro de Seguridad Microsoft, Neoteo y Wikipedia.