 |
| Fuente: expressvpn.com |
Hace unos días hablabamos de ciberdelincuentes ( ¿Es un hacker un ciberdelincuente? ), de los que decíamos que se trataba de individuos que tras el anonimato y aprovechándose de sus grandes conocimientos informáticos realizan cualquier tipo de delito en beneficio propio y, habitualmente, provocando perjuicio ajeno.
Al pensar en ellos podemos imaginar a alguien que es capaz de colarse en sistemas que requieren todo tipo de contraseñas, alterar el comportamiento de máquinas para que se comporten a su gusto, etc. Vamos, una especie de genio de laboratorio rodeado de tecnología y oculto a saber dónde haciendo toda clase de geniales malabares informáticos...
Y es cierto, pero muchas veces todo comienza de una manera mucho más simple...
Lo que te voy a contar en las siguientes líneas sólo pretende ilustrar ciertas situaciones que te pueden suceder (si es que no te han sucedido ya) para que seas consciente y, sobre todo, para que las afrontes con cautela evitando caer en trampas. Como se suele decir en seguridad "para que mitigues riesgos".
Un ciberdelincuente es un personaje muy capaz pero para atacarte necesita información. Si no sabe nada da tí, será difícil (no imposible) que se aproveche de alguna manera. ¿Qué tipo de información? Pues normalmente datos personales (nombre, identificaciones, edad, teléfonos, correos electrónicos, direcciones postales...), hábitos y gustos, etc... Y para conseguir este tipo de información no precisa de grandes medios, simplemente, por ejemplo, un teléfono para llamarte mediante el que te engañará con alguna treta bien montada.
Estamos hablando de un tema mucho más peligroso que los virus, troyanos y gusanos informáticos (te invito a leer los artículos ¿Qué es un virus informático?, ¿Qué es un troyano informático? y ¿Qué es un gusano informático? ). Hablamos algo a lo que se llama "ingeniería social", que básicamente es todo aquello imaginable para conseguir engañar a alguien y así lograr la información necesaria para cumplir algún objetivo. Según el pertiódico Digital Guardian más del 95% de los ataques informáticos comienzan por aquí.
Ponte en el siguiente caso (estoy seguro de que ya te han llamado más de una vez por teléfono preguntándote datos personales):
Recibes una llamada de teléfono en tu casa de tu supuesto supuesto banco online por motivo de cualquier asunto como campaña comercial y, con la excusa de poder proseguir con la gestión, te dicen que necesitan verificar el nombre del titular del contrato, así como su DNI y su dirección de correo electrónico de contacto. Inocentemente facilitas los datos. Puede que inicialmente dudes, pero como también te dicen que "la conversación será grabada por requisitos de alguna ley de protección", tus dudas se van disipando... y, al final, los facilitas. Es decir, alguien que sólo disponía de tu número de teléfono, probablemente obtenido al azar, ha conseguido en un chasquido de dedos algunos de tus datos personales.
Al cabo de un tiempo recibes correo electrónico con todo tipo de logotipos oficiales, bien redactado, en el que se te invita a acceder, a través de un enlace, a la web de ese banco porque han preparado para tí un obsequio o alguna ventaja comercial. Como ya estabas en preaviso de días atrás, vas y haces "click" en ese enlace lo que te conduce a la supuesta web de la entidad en la que, lógicamente, debes introducir tu usuario y password (¡ya estás a un paso de conseguir el cepillo de dientes eléctrico que te habían prometido!). Si todo está bien montando puede que esa web incluso te deje operar un poco más para evitar que te surjan sospechas...
 |
| Fuente: blog.radware.com |
Con un supuesto como el anterior habrían conseguido tu nombre, tu DNI, tu correo electrónico, tu usuario y password de acceso a tu entidad de pagos online,... Es decir, en el caso de que todo ésto fuera un engaño, el ciberdelincuente que estuviera detrás ya estaría a un simple paso de costearse un viaje al Caribe a tu costa... Seguramente seas una persona con criterio y pienses "yo no puedo caer en eso", pero es una cuestión de probabilidad, estadística y, sobre todo, de ajuste a tu propia persona (definen un engaño a tu medida). Y si no caes tú, caerá el de al lado. Sea como sea, te aconsejo la lectura de este artículo: "Esos correos sospechosos que me piden mis datos...".
La ingeniería social, el arte del engaño, es muy antiguo, tanto como la sociedad en si misma, y suele ser el paso previo a multitud de diversos ataques y detitos que persiguen aprovecharse de tí (correos de falsos bancos, anuncios de mentira en páginas de compraventa, estafas a través de foros,...) o convertirte en un medio más para provocar un daño a un tercero (cadenas de mensajes absurdos del tipo "si lo reenvías a 10 personas más gozarás del amor divino", ó "reenvíalo a todos tus contactos y tal marca te regalará un móvil de última generación"... cuyo objetivo es el colapso de las redes y sitios web). Incluso a nivel empresarial, resulta relativamente sencillo hacerse pasar por un supuesto compañero de otro departamento (por colaboracionismo y confianza rutinaria) con algún tipo de problema en el acceso a su puesto para conseguir los datos necesarios y colarse en la red de la empresa... y para ello ¡puede bastar el identificador de un usuario oculto en los metadatos de cualquier documento de la compañía! (ya adelantábamos algún matiz de este tipo de problemas en el artículo "El peligro de publicar fotos personales en Internet").
Por tanto, y en general, te aconsejo que sigas ciertas pautas para evitar este situaciones:
- No reveles tus datos personales si no estás seguro de quién está detrás de la pregunta.
- Nunca facilites tus usuarios y passwords a través de webs a las que accedas por medio de enlaces que te lleguen en correos. Intenta usarlo sólo en las webs oficiales a las que tú accedas directamente.
- Evita el reenvío de cadenas de mensajes absurdos.
- Verifica siempre quien te ha contactado (pide que llamen en otro momento y, entre tanto, podrás llamar a la compañía que sea para verificar esa llamada pueda ser real).
- No te creas directamente los anuncios con súper chollos (en estos casos busca en Internet la dirección de correo del vendedor o su teléfono o lo que puedas conseguir, para tratar de conseguir algo de información sobre él).
- Antes de ejecutar ni visualizar nada de lo que te envíen por correo, descárgarlo a tu ordenador y verifícalo con un antivirus ( te invito a leer el artículo ¿Qué antivirus instalo? ).
No hay comentarios:
Publicar un comentario