Articulos Ciencia y Tecnología Opinión
Cuidemos nuestra información
Por: Ing. Karla Vanessa Barreto Stein
Docente de la Escuela de Ingeniería de Sistemas y Computación USAT
Docente de la Escuela de Ingeniería de Sistemas y Computación USAT
Como pescadores utilizando carnada, buscando atrapar peces en el mar, los delincuentes cibernéticos están a la orden del día, intentando obtener información confidencial. Empleando carnadas atractivas para personas incautas (como mensajes con premios, regalos, o que aseguran problemas en sus cuentas bancarias), buscan estafar y utilizar la información confidencial obtenida de manera fraudulenta: contraseñas, cuentas bancarias, datos de tarjetas de crédito, etc.
Aquí vamos a explorar en conjunto, los muchos desafíos de seguridad que personas como tú y como yo enfrentan en su vida diaria. Pero primero lo primero, definamos qué es la Ingeniería Social. En sencillas palabras, es el arte de manipular, influir o engañar a una persona para haga algo que no debe hacer. El objetivo de los ingenieros sociales es ganar su confianza, luego, usar esa relación para convencerla de que divulgue información sensible personal, sobre su organización o darle acceso a su red empresarial o a la conexión a internet que utiliza en su hogar. Sin embargo, esta técnica no solo se limita a obtener información a través de su correo electrónico, sino que también puede ser por teléfono, correo tradicional, redes sociales (Facebook, Instagram, entre otros), sistemas de mensajería (Messenger, Telegram, WhatsApp, entre otros), contacto directo, mensaje de texto.
Precisamente una de las modalidades de estafa es el phishing y, si muchos de ustedes se preguntan cómo funciona, aquí les describo de manera general de qué se trata:
- Como pescadores, los delincuentes cibernéticos se hacen pasar por una persona o entidad de confianza para la persona y la contacta por los medios antes mencionados. El objetivo es hacerle llegar un comunicado que simula ser oficial; ya que imita el formato, el lenguaje y el logo de la entidad o persona que se está falsificando. En dicho comunicado se suelen pedir datos de acceso o información sensible, alegando diversos motivos, como problemas técnicos, actualizaciones, beneficios, cambio de políticas, posible fraude, préstamo de dinero, entre otros.
- Esto viene acompañado por un link a la página o documentos adjuntos aparentemente oficiales, pero que en realidad conduce a un sitio web falso o a ejecutar programas mal intencionados que son una copia exacta de la página o documentos originales. El usuario tranquilamente puede caer en esta trampa y escribir sus datos confidenciales en esa copia ilegítima, como sus datos personales, usuarios y contraseñas. O simplemente tratar de ayudar haciendo algún tipo de préstamo de dinero.
- Una vez aquí, el resto se vuelve fácil. El pirata informático empieza el circuito de ataque, enviará correos electrónicos, publicaciones en redes sociales, comentarios, tweets, haciéndose pasar por el verdadero propietario de la cuenta, engañado así a sus contactos, compañeros de trabajo, para que hagan clic en los enlaces o abran archivos adjuntos infectados o estafándolos.
Es importante entender que la motivación principal de estos piratas informáticos es el dinero, tus contactos y/o información confidencial; y como buenos pescadores no solo contactan por los medios antes mencionados a una persona, sino que lo envían a múltiples personas, esperando a que siempre un porcentaje de las personas contactadas confíe y haga clic al sitio web falso o realice las acciones mal intencionadas. Pero ¿qué es lo que buscan estos pescadores?: robo de dinero en la cuenta bancaria, uso indebido de tarjeta de crédito, estafa, venta de datos personales (clientes o empleados o la nuestra), información confidencial, suplantación de identidad, tus contactos para continuar estafando, entre otros.
Ahora que conocemos cómo funciona el phishing, la pregunta que te estarás haciendo es cómo me protejo de este circuito de ataque. A continuación, te dejo las 12 señales de alerta para detectar este tipo de ataques:
- Si la línea de asunto de un correo electrónico es irrelevante o no coincide con el contenido del mensaje es una señal de alerta. Asimismo, si es un correo electrónico sobre algo que nunca solicitó o un recibo de algo que nunca compró, es definitivamente una señal de alerta.
- Si en la línea “para” del correo electrónico o en otros medios antes mencionados, incluyeron personas a las que también se les mando el mismo mensaje pero que no conoces, es una señal de alerta.
- Si en la línea “de” del correo electrónico o en otros medios proviene de una dirección de correo o número de teléfono desconocido es una alerta. Si el mensaje viene de alguien que conoces (remitente y/o organización) pero el mensaje o correo electrónico es inesperado o fuera de lugar, es señal de alerta. Asimismo, si recibes un mensaje por las redes sociales o mensajería celular de alguien que ya tenías agregado, pero te hace una solicitud de mensaje como si no fuera parte de tus contactos es una señal de alerta también.
- Si la línea “fecha” en un correo electrónico, que normalmente recibirías en horario laboral normal o en un horario oportuno, se envió a las 3 a.m., también es una señal de alerta. Lo mismo aplica para mensajes en otros medios enviados fuera de horarios oportunos.
- Archivos adjuntos o fotos que no se esperan o que solicitan abrir es una señal de alerta y uno de los trucos favoritos de los piratas informáticos.
- Pedirle que haga clic a un enlace o que mire una fotografía comprometedora o vergonzosa de usted mismo o de alguien que conoce que le proporciona una sensación incomoda o simplemente le parece extraño o ilógico, es una señal de alerta.
- Busque errores ortográficos en el enlace, observe que muchas veces no son visibles a simple vista. A veces agregan dobles sílabas ejemplo una “i” adicional en “phiishing”.
- Si la dirección de enlace es para un sitio web diferente a la institucional de la empresa es una señal de alerta.
- Solicitudes de depósito de dinero debido a una emergencia de un familiar, favores de paquetes en tránsito, recepción de mercaderías solicitadas por amigo o familiar, cuya cuenta destino es para un tercero que no conoce es una gran señal de alerta.
- Si te hacen ganador de un premio o descuentos especiales, pero para obtenerlo te piden información o datos personales irrelevantes, es una señal de alerta.
- Si recibes una oferta de trabajo de manera aleatoria y te piden información personal y no estás en búsqueda de nuevos horizontes, es señal de alerta.
- Llamadas por teléfono por pagos pendientes de tarjetas de crédito, créditos hipotecarios, entre otros, y si te encuentras al día en tus pagos es señal de alerta.
La regla de oro es la siguiente: nunca entregue sus datos personales por estos medios. Las empresa y bancos jamás le solicitarán esta información por estos medios. Si duda de la veracidad de la información recibida por alguno de estos medios, no haga clic en un link, enlace o archivo adjunto. Escriba la dirección usted mismo en la barra de su navegador, asegurándose que la dirección es segura, llame o acuda a su banco, familiar o amigo y verifique los hechos.
Finalmente, si eres víctima de phishing, cambia tus contraseñas, bloquea tus tarjetas con las entidades bancarias, según aplique. Sobre todo, sé parte del cambio, tómate tu tiempo en evaluar la situación, sé escéptico, y reporta el hecho. Reportar el hecho evitará que haya más víctimas en la misma modalidad. Conviértete en un héroe tomando la acción correcta.
