Con el tiempo, la tecnología ha explotado con ceros y unos digitales que rigen casi todos los aspectos de la vida. Las tecnologías emergentes, como la inteligencia artificial (IA), el aprendizaje automático, el 5G o la computación cuántica, y las que están en evolución, como la nube, los vehículos autónomos y los dispositivos conectados a la internet de las cosas (IoT), son blancos cuya seguridad debe resguardarse. En efecto, cada segundo, más de cien nuevos dispositivos de IoT se conectan a la red. Como las ciberamenazas no paran de crecer, debemos ser cada vez más conscientes de la seguridad. La ciberseguridad es una responsabilidad compartida. Todos tenemos que contribuir para que la internet sea segura y poder evitar las amenazas en Internet.
Lo primero para evitar las amenazas en internet es estar alerta. Los delincuentes utilizan la ingeniería social para poner en riesgo los sistemas tan solo porque funciona. Por eso, hay que conocer la infinidad de fraudes que esta permite. Los ingenieros sociales o agentes de amenaza intentan influir en el comportamiento, y el error humano es la causa de casi todas las filtraciones de datos. El objetivo de un ingeniero social es ganar su confianza y luego aprovechar la relación para que usted divulgue información confidencial, suya o de otra entidad, y que le otorgue acceso a una red.
Existen muchos otros métodos de ingeniería social de los cuales podrás leer más adelante en este curso.
Los anzuelos existen. Pero si usted se convierte en un firewall humano, le dificultará las cosas al atacante. Use el sentido común y esté alerta cuando algo se ve mínimamente sospechoso.
La mayoría de nosotros llevamos dispositivos móviles durante el día. Los revisamos con frecuencia y los mantenemos cerca incluso mientras dormimos, ya que permiten acceder a la información en todo momento y desde cualquier lugar. Hoy concentran más de la mitad del tráfico en internet, y ya casi no se diferencian de una computadora. Como estos dispositivos pueden contener una gran cantidad de información confidencial, son blancos muy atractivos y brindan jugosas oportunidades a delincuentes que buscan lucrar con ellos. Hay aplicaciones móviles cuyos datos son tentadores, como los de bancos, redes sociales, correos electrónicos, calendarios, contactos, comercio electrónico o GPS, y presentan un sinfín de vulnerabilidades. Estas se encuentran, por ejemplo, en las capas tecnológicas del móvil, como el SMS o MMS, el Bluetooth o la sincronización con computadoras, y son vectores potenciales de ataques que aumentan la capacidad de daño de los agentes maliciosos.
La ciberdelincuencia dirigida a dispositivos móviles tiene efectos nefastos, como el robo de datos clave, el rastreo de usuarios o el bloqueo de acceso al propio dispositivo. Su dispositivo también puede utilizarse como medio para otros ataques más lucrativos a sistemas empresariales, redes sociales o plataformas en la nube.
Para mitigar las amenazas que representan estas vulnerabilidades, proteja su red Wi-Fi. El término «Wi-Fi» proviene del inglés wireless fidelity (fidelidad inalámbrica), y el router inalámbrico es la puerta principal por la que los ciberdelincuentes acceden a los dispositivos conectados en el hogar. Siempre proteja los dispositivos digitales. Antes de conectarse a una red pública inalámbrica, como en aviones, aeropuertos, hoteles o cafés, verifique con el personal el nombre de la red y la forma de acceso para asegurarse de que la red es auténtica.
Las redes públicas son siempre un riesgo para la seguridad. Para protegerse de las amenazas del juice jacking, piense bien antes de conectarse a un puesto de carga supuestamente confiable en hoteles, aeropuertos o estaciones. Es mejor adquirir un cargador portátil. Los puestos gratuitos pueden contener malware que infectará el dispositivo y permitirá que los atacantes accedan a sus datos. Si un dispositivo conectado a su red queda expuesto, alguien podría espiarlo, incluso en su propio hogar o en una red Wi-Fi cifrada.
Ahora hablaremos de los correos electrónicos. Pasamos buena parte del día en la bandeja de entrada. De hecho, se envían 300.000 millones de mensajes por día en todo el mundo. El correo electrónico es el principal vector de infecciones con toda clase de malware, incluido el ransomware. Una forma común de transmisión de malware son los adjuntos. Si recibe un correo que contiene un adjunto y proviene de un remitente desconocido, probablemente no debería abrir el archivo.
Retrocedamos y veamos en primer lugar cómo recibe estos correos. Se trate de spam tradicional o de phishing, alguien tiene su dirección de correo electrónico, y ha circulado entre remitentes de correo no deseado.
Si bien es difícil mantener la dirección en absoluto secreto, hay formas de que aparente tener menos valor para quienes envían spam. Una de las más efectivas consiste en configurar la cuenta de manera que no se muestren imágenes descargadas. En este tipo de mensajes, el solo hecho de descargar una imagen avisa al remitente que hay alguien que los abre. Esto hace que su cuenta sea un blanco de mayor valor.
La mayoría de los clientes de correo que tienen esta función le permitirá descargar imágenes de mensajes auténticos. Así se verán en el formato correcto y serán 9 fáciles de leer. El spam no suele requerir ninguna acción, y para evitar recibir más mensajes del mismo remitente basta con marcarlo como correo basura y bloquear el remitente.
Veamos ahora las técnicas de phishing, spear phishing, whaling, fraude del CEO y BEC. Los ciberdelincuentes diseñan correos que parecen auténticos e invitan a realizar una acción, como hacer clic en un enlace o abrir un adjunto. A primera vista, los mensajes aparentan ser de una institución financiera, un sitio de comercio electrónico, un organismo gubernamental u otro servicio o empresa auténticos. Por este medio, los atacantes, recopilan información personal, privilegiada o financiera, y pueden infectar computadoras con malware y virus. Los hackers suelen usar técnicas de redireccionamiento de dominios. Simulan ser un remitente que usted conoce e intentan que les proporcione información confidencial, como credenciales de acceso, números de cuenta o de tarjetas de crédito y transferencias de dinero. Como estos correos parecen provenir de fuentes confiables, puede ser muy difícil darse cuenta de que no son auténticos.
Los ciberdelincuentes utilizan estos medios para realizar ataques porque siguen siendo efectivos. Son atractivos y verosímiles porque se asemejan a solicitudes verdaderas. Para lograr su objetivo, deben engañar a los usuarios. Para protegerse, desconfíe de cualquier mensaje que le solicite realizar una acción, sin importar qué tan oficial se vea. Tómese un tiempo y busque indicios que permitan descubrir si es auténtico o no. Por ejemplo, ¿este anzuelo le parece sospechoso? Hay un caso tristemente célebre de una persona famosa que recibió un correo urgente en el que se le solicitaba cambiar la contraseña y… él hizo clic en el enlace de este correo:
Entonces, si hay algo que deben recordar de este video es lo siguiente: ¡coloque el cursor sobre el enlace antes de hacer clic! Si se toma la molestia de colocar el cursor sobre un enlace, verá hacia dónde lo llevará realmente. Es un indicio clave para determinar si el correo es genuino.
Por ejemplo, si recibe un correo que aparenta ser del banco y le informa que hay un problema con su cuenta y que para solucionarlo debe acceder a un sitio web mediante un enlace, no haga clic en él. En cambio, abra un navegador actualizado y escriba manualmente la dirección del sitio (URL) para ver de qué se trata.
Si recibe un correo en el que le solicitan una transferencia de dinero, por ejemplo, el pago de una factura, aun si lo envía un conocido, lo recomendable es que se comunique por otro medio de confianza para verificar que el mensaje sea auténtico antes de tomar una decisión. Además, preste especial atención a la dirección del remitente. Aunque un mensaje diga que proviene de alguien que usted conoce o en quien confía, no significa que se trata de esa persona.
Los ataques de phishing se envían a muchos destinatarios, mientras que los de spear phishing, whaling, fraude del CEO, BEC e incluso vishing están dirigidos a individuos o cargos específicos. Según estudios, estos ataques tienen una efectividad del 91 %. Si un atacante desea penetrar en una organización concreta, puede hacerlo por medio un correo diseñado para tal fin o de una llamada particular que parecen provenir de una fuente interna o de un proveedor externo que trabaja con la organización y es de confianza. Muchas veces, estas comunicaciones fraudulentas se asemejan a mensajes directos de un superior o un alto ejecutivo. Si tiene dudas, incluso cuando los detalles parezcan correctos, no responda.
Los ingenieros sociales son expertos en hacerse pasar por fuentes auténticas, manipular la mente humana para provocar una respuesta emocional y convencerlo de que incumpla los protocolos comunes de seguridad. ¡No se deje engañar!
En temas de ciberseguridad, el conocimiento es poder; por eso, al tomar medidas que están a su alcance, puede evitar las trampas más comunes de las amenazas en Internet. ¡Garantice la ciberseguridad!
Síguenos en redes sociales aquí o ve más información en: Seguridad informática.