En el artículo anterior de esta serie, analizamos en detalle las 57 principales amenazas a la seguridad de la información. En el artículo de hoy hablaremos del aspecto humano de la ciberseguridad donde la concienciación es quizá la defensa más importante contra estas amenazas.
La serie completa consta de 15 artículos:
Publicados – Artículo 1, Artículo 2, Artículo 3, Artículo 4, Artículo 5, Artículo 6, Artículo 7, Artículo 8, Artículo 9, Artículo 10, Artículo 11, Artículo 12, Artículo 13, Artículo 14, Artículo 15.
La realidad es que TODAS las empresas y particulares corren el riesgo de sufrir ciberdelincuencia y la concienciación es quizá la defensa más importante contra estas amenazas.
Hoy, ofreceremos una visión general del panorama actual de las ciberamenazas y le mostraremos algunas de las técnicas que utilizan los ciberdelincuentes para aprovecharse del elemento humano en la cadena de valor de la tecnología.
Actualmente se está desplegando tecnología puntera en empresas y hogares, por lo que muchos ciberdelincuentes tienen como objetivo el eslabón percibido como más débil: nosotros. Intentaremos explicarle cómo puede detectar un intento de manipularle para que ofrezca al delincuente las oportunidades que necesita para eludir la tecnología que utilizamos para mantener la seguridad informática.
El 50% de las peores violaciones de la seguridad de la información se debieron a errores humanos
Entonces, ¿por qué atacar a los humanos? En pocas palabras, un ser humano puede anular la seguridad pasando información libremente o ejecutando algún software o código desde el lado «seguro» de la red informática. En esencia, el ciberdelincuente le está pidiendo que abra la puerta y le deje entrar. La mejor defensa es estar atento a estos intentos, igual que harías en casa o incluso en la oficina si un extraño intentara entrar.
Le describiremos cómo se producen los intentos y cómo debe enfrentarse a ellos. Por encima de todo, el mensaje real es mantenerse a salvo, y esperamos que este artículo te ayude a hacerlo.
El lado oscuro de la ingeniería social
¿Qué es la ingeniería social?
Cuando se utiliza el término «ingeniería social» en el contexto de la ciberseguridad o la ciberdelincuencia, se trata de un término genérico para cualquier intento de hacer que un usuario final ayude al agresor a realizar una acción. Fuera del ámbito cibernético, esto sería más conocido como timo (truco de confianza) o estafa a alguien.
Los ataques de ingeniería social son identificados por la Interpol como una de las tendencias de fraude emergentes en el mundo, con pérdidas declaradas de miles de millones de euros.
¿Cuáles son los ataques de ingeniería social más comunes?
- Phishing
- Phishing con arpón
- Phishing telefónico (o de voz)
- Correo electrónico de un amigo
- Publicidad maliciosa
Los ciberdelincuentes que utilizan la ingeniería social son una amenaza definitiva para las empresas de hoy en día, desde la pizzería local hasta las 500 empresas más grandes (Fortune 500). Sin embargo, con un poco de educación y las soluciones adecuadas se llega muy lejos. Asegúrate de que tus empleados saben a qué deben prestar atención y evitarás muchos quebraderos de cabeza.
Hay formas de proteger tu empresa contra los ataques de ingeniería social. Consulta nuestro post anterior de esta serie para conocer las 57 principales amenazas a la seguridad de la información y poder identificar las vulnerabilidades y proteger tus datos contra estas amenazas. Es ese artículo presentamos con detalle el Phishing y muchos otros tipos de ataque a la seguridad de la información. Hoy, te daremos mucho más detalle e información para que puedas entender todos los aspectos fundamentales de los ataques dentro del contexto de la ingeniería social.
¿Qué es el phishing?
El phishing es la forma más popular de ingeniería social. Principalmente a través del correo electrónico, se describe cuando se recibe un correo electrónico que se asemeja a un correo electrónico auténtico a veces (pero no necesariamente) incluso de un remitente genuino. Estos correos intentan obtener una respuesta que, a su vez, proporcione información al remitente.
Un ejemplo común de esto es cuando usted recibe un correo electrónico de su banco, con lo que parece ser un remitente legítimo, pidiéndole que realice una tarea como confirmar su contraseña bancaria o sus datos personales.
Señales a las que debe estar atento
- Si te piden que sigas un enlace y parece auténtico, el sitio debe ser seguro si vas a introducir datos personales. Busque la S de seguridad después de http en la URL (https://) para saber que el sitio es seguro. Es poco probable que un ciberdelincuente asegure los sitios que ha creado, que requieren más tiempo, dinero y administración.
Para ayudar a los usuarios a navegar por la web de forma segura, Google Chrome ha incluido una advertencia para las páginas HTTP no cifradas que recogen contraseñas o tarjetas de crédito como no seguras. El HTTP sin cifrar es especialmente peligroso para las páginas de inicio de sesión, ya que podría permitir a un atacante interceptar las contraseñas mientras viajan por la red. - Fíjate en la dirección de respuesta, ¿parece real, la sintaxis es correcta? A menudo, la dirección de respuesta puede mostrar si la parte remitente es quien se presenta como tal.
- Comprueba los enlaces que aparecen en el cuerpo de los correos electrónicos. Si pasas el ratón por encima (o pulsas prolongadamente en un dispositivo inteligente) aparecerá un enlace. Si no empieza por la dirección correcta, lo más probable es que se trate de una estafa. No hagas clic en los enlaces sin comprobarlos antes.
- Comprueba la gramática u ortografía general del correo electrónico. En muchos casos, el formato no es del todo correcto o la solicitud parece poco profesional. Los ciberdelincuentes no suelen tener una fase de corrección, y eso se nota muchas veces en la calidad de su comunicación.
Consejos de seguridad
Si recibes un correo electrónico en el que aparece alguno de los indicios anteriores, elimínalo definitivamente. Hacer clic en los enlaces o seguir los consejos puede infectar tu sistema, y responder con cualquier tipo de información comprometerá tu identidad para el robo. Si algo no te parece correcto, elimínalo. Los solicitantes auténticos te darán otros datos de contacto o puedes comprobarlo tú mismo si necesitas tranquilidad.
Ser consciente de los tipos de ciberestafas es la mejor manera de evitar ser una víctima.
¿Qué es el Spear Phishing?
El spear phishing es una forma de ingeniería social. Puede definirse como «phishing altamente selectivo dirigido a individuos o grupos específicos dentro de una organización».
Debido a la cantidad de información que puede encontrarse libremente con sólo indagar un poco en sitios como LinkedIn, Facebook y los propios sitios web de las empresas, es posible añadir detalles convincentes a las estafas de phishing. Los correos electrónicos de spear phishing, por ejemplo, pueden referirse a sus objetivos por su nombre, rango o cargo específicos en lugar de utilizar títulos genéricos como en las campañas de phishing más generales.
Este tipo de estafa es cada vez más abundante.
Consejos de seguridad
- Verifica la solicitud. Llame al remitente real y pregúntele si le ha enviado un correo electrónico y de qué se trata.
- Cuestiona todas las solicitudes por correo electrónico. Evita responder a la solicitud, no des ninguna información en respuesta.
- Disponer de protocolos para que los equipos de cuentas los sigan antes de emitir pagos.
Ser consciente de los tipos de ciberestafas es la mejor manera de evitar ser una víctima.
¿Qué es el phishing telefónico, el phishing de voz o el vishing?
El phishing telefónico o vishing (abreviatura de voice phishing) es un tipo de fraude de ingeniería social en alza. Se está haciendo popular porque añade un nivel de manipulación humana al ataque.
El estafador iniciará una llamada a números preseleccionados al azar y luego procederá a intentar obtener información o acceso a máquinas. A veces también conocido como «pretexting», el estafador utiliza técnicas para convencer a la parte que llama de que es una persona auténtica que necesita información o acceso para realizar una acción. La persona que llama establecerá una relación y, utilizando grandes organizaciones conocidas como tapadera (por ejemplo, Microsoft, Apple o BT) y con un poco de tanteo, engañará a los interlocutores para que confirmen o corrijan información por teléfono.
En algunos casos recientes presentados a PlisQ, hemos tenido noticia de personas que llaman solicitando a los ciudadanos que divulguen información personal como parte de una estafa mayor. En otros casos, la persona que llama sugiere que trabaja para un proveedor de software reputado como Microsoft y necesita ayuda para acceder al PC del usuario para «verificar una amenaza conocida». Por supuesto, nadie que llame de verdad pediría información personal ni accedería a una máquina sin que la persona que llama lo haya instigado en primer lugar.
Estos son algunos de los ejemplos comúnmente encontrados en el Vishing:
…necesito los datos de tu tarjeta…
…Su pago no se ha efectuado…
…confirme la contraseña…
Soy uno de sus proveedores y tiene un pago con más de 90 días de retraso…
Somos de Microsoft y necesitamos corregir un problema en su ordenador…
Consejos de seguridad
Si recibes una llamada pidiéndote que facilites información o acceso, es casi seguro que se trata de un intento de ingeniería social para engañarte. Cuelga y, si lo consideras necesario, llama tú mismo a la organización utilizando un número auténtico conocido (por ejemplo, un número bancario que aparezca en el reverso de tu tarjeta) y pregunta si se han puesto en contacto contigo.
Desconfía de cualquier llamada entrante en la que la persona que llama te solicita información personal, simplemente no es así como funciona, e incluso en el raro caso de que lo sea, devolverles la llamada es perfectamente aceptable.
Un mensaje de correo electrónico de un amigo puede ser una estafa de phishing
En algunos casos, los ciberdelincuentes pueden haber conseguido acceder a los sistemas de alguien que conoces y en quien confías o pueden haber suplantado su dirección (enviando con la dirección de correo electrónico correcta, pero sin llegar a controlar las cuentas de la persona).
Puede tratarse del correo electrónico, pero también de las cuentas de redes sociales o de cualquier sistema en línea. Utilizando cuentas auténticas, el ciberdelincuente que se hace pasar por tu «amigo» puede enviarte un enlace o un archivo adjunto en el que te dice que «tienes que ver esto tan increíble…» o cualquier otro gancho.
Estos intentos son muy difíciles de detectar, y sería realmente difícil saber a simple vista si el contacto es auténtico.
Consejos de seguridad
- Cuando recibas un correo electrónico que parece provenir de alguien que conoces, piensa si la comunicación suena bien. Por ejemplo, ¿tu hermano suele enviarte mensajes dramáticos o vídeos de gatos? Si no es así, es poco probable que empiece a hacerlo, así que pregúntale o borra el mensaje.
- Pasa el ratón por encima del nombre del remitente en el campo «De», o tócalo en una tableta, y aparecerá la dirección de respuesta completa, que debería ser correcta. Si no lo es, es probable que se trate de un correo falso. Bórralo.
- Si hay algo que no te parece correcto, coge el teléfono y pregúntale al remitente (a quien conoces en este caso) si es auténtico. Comprobarlo es más seguro que dejarse sorprender.
Publicidad maliciosa ¿Qué es el malvertising?
Malvertising, abreviatura de publicidad maliciosa en línea, es una combinación que describe el ciberdelito consistente en utilizar la publicidad en los sitios web para hacer proliferar programas maliciosos. Actualmente es una de las formas más exitosas que tienen los ciberdelincuentes de difundir código malicioso, o malware, e infectar sistemas informáticos.
¿Cómo funciona?
El malvertising se produce cuando una red de ciberdelincuentes que utiliza sitios legítimos utiliza los anuncios que aparecen automáticamente cuando se visita una página. Un usuario puede estar simplemente consultando las noticias en un sitio conocido y de buena reputación y, al «aterrizar», la página empieza a cargar automáticamente una miríada de páginas adicionales en forma de anuncios en miniatura.
Estos son proporcionados por redes publicitarias, y los propietarios legítimos no son conscientes de los sitios a los que van, ya que no están alojados por los propietarios. En su lugar, las páginas son alojadas por las redes y se intercambian rápidamente con nuevos anuncios todo el tiempo. Como este es el caso, los ciberdelincuentes están comprando espacio publicitario, normalmente de forma anónima utilizando métodos sigilosos para ocultar su identidad, y conseguir que su malware aparezca por toda la web.
A ello contribuye especialmente la inteligencia añadida de las redes publicitarias, que permite elaborar perfiles de ataques selectivos examinando los criterios de búsqueda de los usuarios desde sus navegadores. Por ejemplo, si un delincuente tiene como objetivo a un comprador que utiliza un navegador antiguo, puede realizar búsquedas con «compras», «comprar», etc., y mostrar un sitio malicioso si el navegador es una versión antigua con exploits conocidos.
Varios sitios web de noticias importantes, como el New York Times, la BBC, AOL, MSN y Forbes, han sido blanco de una campaña maliciosa que intenta difundir publicidad maliciosa e instalar ransomware en los ordenadores de los usuarios.
Dado que este método cuesta tiempo y dinero a los atacantes, cabe suponer que es muy lucrativo para los ciberdelincuentes. Después de todo, son eficientes y productivos, por lo que esta técnica debe ser rentable para ellos. Encontrar a los delincuentes a posteriori es difícil debido a la naturaleza de las redes publicitarias que manejan tantos anuncios y a la relativa facilidad para ocultar la identidad en la web.
Security tips
- Asegúrate de que tus navegadores, plug-ins y sistemas operativos están actualizados. La publicidad maliciosa no es más que un vehículo para encontrar fallos de seguridad ocultos en otras partes de los sistemas. La forma más sencilla de minimizar estos problemas es eliminar las vulnerabilidades de tu ordenador.
- Desinstala los complementos del navegador que no utilices y configura el resto como «click-to-play». Los plug-ins click-to-play evitan que Flash o Java se ejecuten a menos que se lo indiques expresamente (haciendo clic en el anuncio). Una buena parte de la publicidad maliciosa se basa en la explotación de estos plug-ins, por lo que activar esta función en la configuración de tu navegador te ofrecerá una excelente protección.
Ser consciente de los tipos de estafas cibernéticas es la mejor manera de evitar ser una víctima.
En el artículo anterior de esta serie, analizamos en detalle las 57 principales amenazas a la seguridad de la información. En el próximo artículo (Artículo 6) hablaremos de la diferencia entre hackers, ciberdelincuentes y ladrones de identidad.
La serie completa de “Ciberataque – Geografía e Identidad”:
#1 – «Ciberataque – Geografía e Identidad 1 – Cambio de paradigma«
#2 – «Ciberataque – Geografía e Identidad 2 – Cuando hackear es un asunto de estado«
#3 – «Ciberataque – Geografía e Identidad 3 – Primero protege tu hardware«
#4 – «Ciberataque – Geografía e Identidad 4 – Las 57 principales amenazas«
#5 – «Ciberataque – Geografía e Identidad 5 – El aspecto humano de la ciberseguridad«
#6 – «Ciberataque – Geografía e Identidad 6 – La diferencia entre hackers, ciberdelincuentes y ladrones de identidad«
#7 – «Ciberataque – Geografía e Identidad 7 – Las motivaciones de los ciberdelincuentes«
#8 – «Ciberataque – Geografía e Identidad 8 – Vectores del ransomware y cómo evitar convertirse en víctima«
#9 – «Ciberataque – Geografía e Identidad 9 – Reconoce y evita el phishing«
#10 – «Ciberataque – Geografía e Identidad 10 – IA, un salto de gigante en ciberseguridad«
#11 – «Ciberataque – Geografía e Identidad 11 – ¿Hacking Back?«
#12 – «Ciberataque – Geografía e Identidad 12 – Atrapando a los hackers en el acto«
#13 – «Ciberataque – Geografía e Identidad 13 – La ciberseguridad en el núcleo empresarial«
#14 – «Ciberataque – Geografía e Identidad 14 – Nuevas normativas de ciberseguridad en la Unión Europea«
#15 – «Ciberataque – Geografía e Identidad 15 – Defensa Activa«
Página Infografía del ciberataque.
