Durante todas las situaciones críticas ha habido personas que se aprovechan de dicha situación, como timadores, estafadores y delincuentes. Esta pandemia a nivel mundial que estamos pasando, no tenía que ser menos en este aspecto, y lógicamente, Internet es uno de los terrenos de juego para estos desaprensivos personajes, que buscan su propio beneficio.
¿Y cómo lo hacen? Pues sencillamente utilizando técnicas de ingeniería social, que aprovechan las debilidades de las personas y juegan con su psicología. Hoy en día es la técnica más utilizada por los delincuentes cibernéticos. Son las más utilizadas, porque funcionan muy bien, e implican poco riesgo para los delincuentes, y con costes muy pequeños.
Los “cibercacos” van de pesca.
Una de las técnicas de ingeniería social más utilizada, es el phishing.
Esta técnica funciona de la siguiente manera: El destinatario recibe un correo electrónico, es lo más común, pero podemos recibir también, mensajes de mensajería instantánea o red social, un SMS, o incluso, una llamada telefónica. El atacante hace que parezca una comunicación legítima que viene de una fuente fiable, y deberemos hacer una de estas 3 acciones:
- Que proporcionemos datos o información sensible. La finalidad del cibercaco es que le digamos una contraseña o clave de acceso, aunque también puede estar interesado en información bancaria como nuestro número de tarjeta de crédito o de cuenta.
- Que pinchemos en un enlace. En este caso el objetivo suele ser dirigirnos a una página web controlada por el atacante. Puede ser una página que suplante a una legítima (la de nuestro banco, nuestro portal para teletrabajo, nuestro colegio o universidad, una red social) para intentar que no nos demos cuenta de esta suplantación y que interactuemos con la web como si fuera la real. Esto permite al atacante obtener datos o información sensible igualmente. El otro posible objetivo es infectarnos con algún tipo de malware en esta página web.
- Que descarguemos o abramos algún tipo de fichero. En este caso el objetivo suele ser de nuevo que nos infectemos con un malware.
Los ataques de phishing suelen ser de dos tipos.
Ataques genéricos: Los ataques genéricos, van dirigidos a una gran cantidad de destinatarios, y juegan con la probabilidad. Si, por ejemplo, se envía un millón de correos y alrededor de un 3 % de las personas que los reciban los abrirán y pincharán en el enlace. Y funciona con campañas poco trabajadas en cuanto al diseño, la dirección del que lo envía y la redacción del mensaje.
Ataques personalizados: Van dirigidos a una persona o a un grupo de personas en concreto. En estos casos se busca que el gancho o anzuelo (el correo, el mensaje, la llamada, etc.) sea muy creíble para esa persona o personas, por lo que el cibercaco se esmera más en ese tipo de mensajes, para que el destinatario confíe y caiga en el anzuelo.
Estos ataque son muy comunes, todos hemos recibido e-mails de nuestro banco, diciendo que o introducimos nuestro usuario y password o nos bloquean la cuenta, por ejemplo.
Pero ¿Por qué seguimos picando el anzuelo?
La ingeniería social se basa en seis principios fundamentales, que hacen que funcione y son estos:
- la reciprocidad,
- el compromiso
- la consistencia,
- la pertenencia al grupo,
- la necesidad de agradar,
- la obediencia a la autoridad y
- la escasez.
Los cibercacos se aprovechan de que estos principios, que siempre funcionan, y funcionan mejor en tiempos de crisis, ya que las personas están más susceptibles, nerviosas o más sensibles.
Analicemos algunos ejemplos que estamos observando estos días:
Hay multitud de ataques que ofrecen supuesta información sobre vacunas, tratamientos o la propia expansión del COVID-19 (con mapas, por ejemplo). Al acceder a esta información, ofrecida desde dominios web maliciosos que se han creado a toda velocidad estos días o directamente en documentos adjuntos, muchas víctimas se están infectando con malware. En muchos casos, ransomware que su función es cifrar los datos de sus dispositivos (y los descifra a cambio de un rescate) o troyanos bancarios, que les roban información sensible cuando operan con banca electrónica.
También ocurre esto mediante apps que supuestamente ofrecen auto-diagnóstico, información en tiempo real sobre la pandemia, o recomendaciones de las autoridades y que en realidad están robando información de los dispositivos de las víctimas.
En todos estos ataques, para que la víctima confíe, los cibercacos suplantan a entidades de confianza: bancos, organismos oficiales, ONG. Incluso a la Organización Mundial de la Salud.
También hay ataques, que se realizan, supuestamente, por gimnasios, colegios, bancos, empresas energéticas, tiendas de comercio electrónico o empresas de mensajería, etc. ofrecen reembolsarte dinero porque en el mes de marzo no has podido utilizar los servicios que tenías contratados con ellos. O que te ofrecen algún tipo de oferta o descuento para el mes de abril. Para disfrutar de estos beneficios te piden tus datos bancarios o te redirigen (supuestamente) a sus sistemas para que puedas realizar las gestiones oportunas.
Cuidado con nuestros datos, y los del trabajo
Debemos de tener en cuenta, que si todo esto nos afecta personalmente, cuando estamos hablando de datos y dispositivos personales, puede serlo aún más grave, cuando a través de una víctima se compromete a una organización entera (y más en estos momentos de teletrabajo). Vean nuestro artículo de teletrabajo
Tenemos que protegernos, estar alerta y seguir todos los consejos que se están proporcionando desde organismos como el INCIBE o la Agencia Española de Protección de Datos.
Y lo más importante en estos casos, hacer uso del sentido común.
Con RGPD ON LINE de SEGURINFO, cumple con el RGPD, y toda la normativa de Protección de Datos .
Dispones de herramientas que se adaptan a tus necesidades, fáciles e intuitivas, con un soporte total por nuestra parte.
Infórmate sin compromiso en info@segurinfo.es
Y si quieres ofrecer los servicios a tus clientes infórmate AQUI.