Cuando hablamos de
seguridad en Internet solo podemos
tener la certeza de que nada -ni nadie- está a salvo. No importa si
tenemos el mejor antivirus, un firewall bien configurado y utilizamos
contraseñas fuertes en nuestras cuentas; como usuarios representamos el
eslabón más débil en la cadena de seguridad, ya que en nuestra condición
de humanos no estamos libres de cometer errores.
Con el objeto de aprovechar los errores humanos para vulnerar sistemas, existe una técnica denominada
Ingeniería social,
que a su vez cuenta con una serie de métodos cada vez más populares que
pueden poner en riesgo tanto nuestra seguridad y privacidad como la
integridad de nuestros datos.
¿Qué es la Ingeniería social?
Como lo mencioné al principio, la
Ingeniería social
es una técnica que aprovecha los errores humanos para comprometer las
seguridad de los sistemas, pero también podríamos decir que es un arte
cuyas herramientas principales son el engaño y la confusión.
Así como existen piratas informáticos que irrumpen en sistemas aprovechando vulnerabilidades en el
software,
hay quienes se hacen expertos en engañar y manipular a otras personas, y
así, a través de estas, conseguir los datos necesarios para acceder no
solo a sistemas, sino también a nuestras cuentas personales en redes
sociales, correo electrónico, números de tarjetas de crédito y en
general a
cualquier información personal de carácter privado.
Aunque el término “Ingeniería social” comenzó a escucharse con más
frecuencia en tiempos recientes, la técnica existe desde que las
personas decidieron que engañar a otros es una forma aceptable de
ganarse la vida.
Un pirata informático que utiliza la Ingeniería social como técnica de ataque,
no necesita estar frente a frente con su víctima,
de hecho, en la mayoría de los casos aprovecha herramientas que usamos a
diario, como por ejemplo, el correo electrónico, la mensajería
instantánea y el teléfono.
Si quieren conocer como funciona la Ingeniería social en su máxima expresión, les recomiendo ver la película
Takedown. En esta historia basada en hechos reales se muestra la forma en que
Kevin Mitnick, uno de los
Hackers más famosos de la historia, aplica de manera sorprendente varios de los métodos que describiré a continuación.
Phishing
El
Phishing es uno de los métodos de ataque de
Ingeniería social más utilizados. La forma más común de Phishing es la
que emplea el correo electrónico para cometer fraude.
Un atacante que utiliza este método por lo general tiene en su poder
un dominio de Internet que puede ser fácilmente confundido con la URL de
un servicio legítimo y lo utiliza para tratar de convencer al usuario
de ingresar sus datos con el fin de verificar su cuenta bancaria, Paypal
e incluso una red social o servicio de mensajería instantánea, bajo la
amenaza de suspenderla en caso de no suministrar los datos requeridos.
Si un usuario ingresa sus credenciales, obviamente le está entregando su
información al atacante, quién la utilizará para robar información e
incluso dinero.
Por fortuna, el Phishing también es uno de los métodos más fáciles de
detectar, en gran parte, gracias a los servicios de correo electrónico
que filtran de forma rigurosa todos los mensajes que atraviesan sus
servidores e identifican y marcan como sospechosos aquellos que
provengan de fuentes no confiables.
Debemos tener presente que
ningún servicio de Internet,
incluyendo a los propios bancos, nos solicitará información financiera,
contraseñas o números de tarjeta de crédito para verificar nuestra
identidad o validar nuestra cuenta a través de correo electrónico.
Cada vez que necesites ingresar a los servicios de banca en línea,
asegúrate de introducir manualmente la dirección en el navegador, es
decir, evita utilizar enlaces que encuentres en otros sitios, incluso si
se trata de un buscador. La mayoría de los bancos tienen servicios de
atención telefónica para reportar el fraude, por lo que si sospechas que
estás siendo víctima de uno de estos ataques, no dudes en llamar de
forma inmediata para solicitar asistencia.
Vishing
En el
Vishing, los métodos son similares a los
descritos en el Phishing, de hecho su finalidad es exactamente la misma.
La diferencia es que este utiliza
una llamada telefónica en lugar de un correo electrónico o un sitio web falso.
Existen varias formas ataque bajo este método, las más comunes son:
-
Una llamada a la victima utilizando un sistema automatizado, en la
cual se solicita al usuario que siga una serie de pasos para reactivar
su cuenta ya que “su tarjeta de crédito ha sido robada” y “se requiere
de una acción inmediata”.
-
Un correo electrónico con instrucciones para “activar su cuenta”
donde se incluye un número de teléfono al que se debe llamar para
completar el falso proceso de activación.
-
Empleando la imitación de llamadas telefónicas interactivas del tipo
“marque 1 para…” o “introduzca su número de tarjeta de crédito después
de la señal…”.
Además de éstas, he conocido casos a través de familiares y amigos,
en los cuales, mediante una llamada telefónica se realiza una encuesta o
se ofrece algún paquete turístico. A lo largo de la conversación, el
atacante va realizando una serie de preguntas cuyas respuestas implican
datos privados.
Los atacantes que emplean este método suelen tener un gran poder de
convencimiento y ser buenos conversadores, de esta manera logran
mantener por el mayor tiempo posible a la víctima pegada al teléfono.
Ahora que conoces como funcionan, puedes
sospechar de todas las llamadas de este tipo. En el caso de los bancos, estos
nunca te pedirán datos vía telefónica
(en todo caso te pedirán que te acerques hasta una de sus agencias).
Tampoco Facebook, Google, Microsoft o cualquier compañía/servicio te
llamará para pedirte información sobre tus contraseñas o tarjetas de
crédito.
Baiting
Este método aprovecha una de las mayores debilidades -o virtudes- de los seres humanos: la
curiosidad.
En el
Baiting, un atacante abandona de forma
intencional un dispositivo o medio de almacenamiento extraíble, como por
ejemplo, una memoria USB o un CD/DVD. Dicho dispositivo estará
infectado con
software malicioso, que podría ser instalado en el ordenador, incluso sin que nos demos cuenta.
Contra este método, tener un
antivirus actualizado
podría ser efectivo, sin embargo, es necesario tener precaución a la
hora de insertar dispositivos de dudosa procedencia en nuestros
ordenadores. También es recomendable
desactivar la función Autorun y no abrir archivos si no estamos seguros de su contenido.
Otros métodos
Además de los 3 que he mencionado, existen muchos otro métodos
utilizados dentro de la Ingeniería social, todos ellos, como lo dije al
principio, hacen uso del engaño y la confusión para llevarnos a la
trampa, por lo que debemos estar alerta en todo momento, y sobre todo,
hacer uso del sentido común.
Finalmente, y aunque parezca una recomendación obvia, procura no
anotar tus contraseñas en lugares donde puedan ser fácilmente visibles o
encontradas por otros, sobre todo si trabajas en un lugar donde entra y
sale gente de manera constante. Dejar las tarjetas de crédito, estados
de cuenta, u otro tipo de información financiera a la mano de
cualquiera, tampoco es una buena idea.
Ahora que conoces como funciona la técnica y sabes como prevenir un
fraude, es momento de compartir la información con tus familiares y
amigos, de esta manera, ellos también podrán evitar caer en la trampa.
