Las amenazas cibernéticas no son algo nuevo, sin embargo, es importante reconocerlos y familiarizarnos con ellos para entender la lógica detrás de cada uno de ellos y poder prevenirlos y así mismo saber denunciarlos y actuar ante ellos.

¿Qué es la Ingeniería Social?

La ingeniería social consiste en la utilización de métodos no tecnológicos para engañar a potenciales víctimas específicas que han sido previamente investigadas, para que compartan información personal sensible, como contraseñas o detalles de cuentas bancarias, de forma casi voluntaria con un hacker.

¿Cuáles son los tipos de amenazas de ingeniería social?

· Spear phishing: A través de la personalización de correos electrónicos, mensajes de phishing o

suplantando la identidad de contactos cercanos, reclutadores, etc. Ejemplo: un hacker que suplanta la información de un banco y pide a una persona información privada para “desbloquear su cuenta”, o que se hace pasar por un reclutador para solicitar información de identidad para tramitar una oferta falsa.

· Pretexting: A través de un pretexto o historia cautivadora, los hackers atraen la atención de una persona a quien se busca atacar y lo involucran para que haga alguna acción específica, como donar a una campaña falsa, o brindar información personal sensible. Ejemplo: correos electrónicos en los cualesse promete dinero de una supuesta herencia, en la cualse busca obtener detalles de una cuenta bancaria.

· Spam de contactos: Consiste en el envío masivo de correos electrónicos a una lista de contactos de una cuenta que ha sido hackeada. Estos correos se envían desde un buzón de correo conocido para no levantar sospechas, pero el contenido de los mismos aparecerá a los destinatarios con enlaces acortados o asuntos informales como “Mira esto”. Si la persona hace clic, se instalará un software malicioso que continuará con esa cadena de spam y puede acarrear consecuencias negativas para sus datos personales.

¿Cómo reconocer los ataques de ingeniería social?

  • Lenguaje genérico y con faltas: Si el correo proviene de una fuente segura y confiable, el cuerpo debe estar escrito de manera correcta según las reglas de ortografía y gramática. De lo contrario, es posible que se trate de un ataque. Otro elemento lingüístico que puede indicar un intento de ataque son los saludos y las formulaciones genéricas. Entonces, si un correo electrónico comienza con “Estimado destinatario” o “Estimado usuario”, ten cuidado.

  • Remitente desconocido o con una identificación sospechosa: Si un correo electrónico proviene de una dirección que es una combinación de números y caracteres aleatorios o es desconocida para el destinatario, debe ir directamente a la carpeta de correo no deseado. Sin embargo, en algunos casos, los hackers también pueden tener una dirección de correo legítima, por lo que de todas formas es importante revisar las otras señales de alerta incluídas en este apartado.

  • Sentido de urgencia: Los delincuentes detrás de las campañas de ingeniería social a menudo intentan asustar a las víctimas para que actúen utilizando frases que provocan ansiedad como “envíenos sus datos de inmediato o su paquete será descartado” o “si no actualiza su perfil ahora, cerraremos su cuenta”. Los bancos, las empresas de paquetería, las instituciones públicas e incluso los departamentos internos suelen comunicarse de forma neutral y objetiva. Por lo tanto, si el mensaje intenta presionar al destinatario para que actúe rápidamente, probablemente sea una estafa maliciosa y potencialmente peligrosa.

  • Solicitud de información personal y privada: Las instituciones e incluso otros departamentos de su propia empresa normalmente no solicitarán información confidencial por correo electrónico o por teléfono, a menos que el contacto haya sido iniciado por el empleado.

¿Cómo prevenir estos ataques?

  • No revelar información personal ni datos confidenciales (credenciales, números de tarjetas de créditos, cuentas bancarias, etc.) por teléfono, email o servicios de mensajería instantánea.

  • Cuidado al compartir información. Hay que evitar exponerse en internet y en redes sociales publicando información personal (número de teléfono, dirección, hábitos, etc.). Estos datos facilitan el trabajo a los ciberdelincuentes.

  • Verificar los ficheros adjuntos. No descargarlos si se desconoce su contenido, aunque provengan de un contacto conocido.

  • No dar click en los links o adjuntos de los mensajes de correo electrónico. Puede verificarlos dejando el puntero sobre el link sin dar click sobre él, se abrirá un cuadro de diálogo que contiene el sitio al que lo redireccionará y así podrá verificar la veracidad.

  • Instalar y mantener siempre actualizado un antivirus en todos los dispositivos.

  • Sentido común y precaución son los mejores aliados en la defensa contra la ingeniería social.

Las amenazas cibernéticas no son algo nuevo, sin embargo, es importante reconocerlos y familiarizarnos con ellos para entender la lógica detrás de cada uno de ellos y poder prevenirlos y así mismo saber denunciarlos y actuar ante ellos.

NOTA: Si usted desea saber más de cómo reconocer problemáticas y amenazas de seguridad digital, lo invitamos a tomar el curso corto y gratuito de Seguridad Digital: dando click aquí

Bibliografía

1. Alfabetización y Seguridad Digital. OEA (2016) Disponible en: https://alai.lat/wp-content/uploads/2021/06/alfabetizacion-y-seguridad-digital.pdf

2. Curso de Seguridad Digital. Hive Mind. Disponible en: https://es.hive-mind.community/trainings/register?i=61e03d4d960f5

Ilustración de fondo: Photo by Mati Mango from Pexels / Pexels license