Piensa mal y acertarás #Tecnologia

159 0

En este artículo veremos algunas de las formas que usan los atacantes para aprovecharse de esa gran vulnerabilidad por todos conocidas: el ser humano.

¿Qué es la ingeniería social?
Un gran número de ataques se engloban dentro de la categoría de ingeniería social, pero, ¿a qué nos referimos cuando hablamos de ella? Se conoce como ingeniería social al conjunto de prácticas que, a través de la manipulación de usuarios, permiten cumplir un objetivo específico.

Por lo general, el atacante pretende engañar al usuario con alguno de los siguientes propósitos:

 Obtener acceso ilegítimo al equipo de la víctima.
 Obtener información confidencial.
 Realizar un fraude.

Los ataques de ingeniería social están muy presentes en el día a día debido entre otros factores a su facilidad para realizarlos, la alta probabilidad de que alguien caiga en la trampa o la posible recompensa que se puede llegar a obtener.

Inicios
Aunque el término de ingeniería social se empezó a usar en la década de los 80, las estafas y engaños han estado presentes durante toda la historia de la humanidad, basándose siempre en los siguientes principios:

 “Todas las personas quieren ayudar”.
o A la gente no le gusta decir que no.
o Confiamos en quien nos habla de buena forma.

Timos tradicionales como el “de la estampita”, que consistía en hacer pasar por billetes legales recortes de periódico, o el “tocomocho”, que engañaba a la víctima haciéndole pensar que compraba billetes de lotería premiados que en verdad eran falsos; son alguno de estos ejemplos.

Con la aparición de las nuevas tecnologías los engaños también evolucionaron, como es el caso del conocido “timo nigeriano”. En este tipo de estafas un usuario recibía un correo electrónico, normalmente en nombre de un pariente lejano millonario o de un rico príncipe nigeriano, en el que se le ofrecía una gran herencia. Para acceder a ella, tenía que aportar previamente una pequeña cantidad en concepto de tasas o impuestos. Una vez pagado el importe, el timador desaparecía con el dinero.

No obstante, en la actualidad se utilizan técnicas mucho más sofisticadas para provocar que la persona caiga en la trampa. Veamos las más interesantes.

Phishing
Conocido por todos, el phishing es sin duda la forma más popular de ciberestafa. En este ataque, el estafador se hace pasar por una empresa o persona de confianza que, a través de una comunicación “oficial” (usualmente un correo electrónico) le pide al usuario ciertos datos personales. Normalmente estos correos tienen un enlace fraudulento que replica la página web de la organización. Una vez que la víctima introduce los datos en el formulario, el ataque ha dado sus frutos. Atrás queda ese príncipe nigeriano que nadie conocía y que te obligaba a desconfiar. Los ataques de phishing suplantan los correos y la web de entidades de confianza con mucha precisión.

USB trampa
Imagínate que te encuentras una memoria USB tirada por la calle. Estos pequeños aparatos se han convertido en una herramienta que todo el mundo usa día a día, por lo que recoger un dispositivo del suelo puede suponer un pequeño ahorro. Sin embargo, actualmente se está poniendo de moda un nuevo tipo de ataque de ingeniería social en el que el estafador deja sueltos varios lápices de memoria en una zona visible con el objetivo de que las posibles víctimas los introduzcan en sus dispositivos personales. Estas memorias, una vez que se activan en estos dispositivos, atacan el ordenador del usuario ya sea ejecutando algún malware o robando sus contraseñas almacenadas.

QR maliciosos
De manera similar al phishing con correos electrónicos, el atacante intenta engañar a los usuarios para que escaneen con sus teléfonos móviles un código QR. Un ejemplo sería crear un cartel publicitario que imita a una empresa (logotipo, colores corporativos, etc.) para participar a través de un código QR en el sorteo de un viaje entre los empleados. Una vez que la víctima
accede al enlace malicioso se encontrará con un formulario fraudulento, o con un mensaje que le pide que descargue una aplicación móvil para participar en el sorteo, entre otros ejemplos.

En cualquier caso, todo dato que introduzca el usuario quedará en poder de los atacantes.

Cargadores trampa
Nuestro smartphone se ha convertido en una extensión de nuestro cuerpo, por lo que uno de los miedos diarios más temidos es el quedarnos sin batería a mitad del día. Por suerte, últimamente están empezando a aparecer en diversos lugares públicos (estaciones de metro, autobuses, restaurantes) puntos de carga donde conectar nuestro equipo y salir de la temida zona roja de batería. Sin embargo, existe la posibilidad de que un atacante oculte en uno de estos cargadores un dispositivo que permita intercambiar datos con nuestro móvil, permitiéndole robar los datos que tengamos almacenados.

Llamadas fraudulentas o vishing
Este es uno de los mecanismos más simples de estafa. El atacante llama a la víctima haciéndose pasar por alguien del servicio técnico de la empresa o banco, y le dice que ha habido un error grave en el sistema y que necesita sus credenciales para solucionarlo. Este método es sorprendentemente efectivo, sobre todo teniendo en cuenta su sencillez, ya que como antes comentábamos, el ser humano siempre muestra ayuda en situaciones complejas.

¿Cómo me protejo?
A pesar de que seamos el eslabón más débil, esto no quiere decir que estemos indefensos. La mejor arma contra los fraudes es el escepticismo. Siempre que algo parezca sospechoso es mejor desconfiar, ya sea un correo inesperado pidiéndonos datos personales, una página web con una dirección distinta a la habitual, etc. Es importante prestar atención a cualquier señal que haga saltar nuestras alarmas y evitar enviar nuestros datos personales. Y, sobre todo, desconfiar de ese pariente lejano que nos escribe un correo ofreciéndonos una gran suma de dinero previo pago de las tasas. Seguro que no existe.

Related Post