fbpx
InicioCiberseguridadTrucos para evitar ser víctimas de ataques de ingeniería social

Trucos para evitar ser víctimas de ataques de ingeniería social

Los ciberdelincuentes en la mayoría de ocasiones se aprovechan de la confianza de las personas para engañarles. Esto es debido a que los ataques basados en ingeniería social suelen ser más efectivos y requieren menos recursos para llevarlos a cabo. La ingeniería social es el conjunto de técnicas de persuasión, con el objetivo de forzar a las potenciales víctimas a que realicen actos que realmente no harían (abrir enlaces a sitios maliciosos, enviar datos confidenciales o infectar sus dispositivos con malware).

Algunas de las técnicas de ingeniería social más conocidas son: phishing, vishing y smishing.

El phishing consiste en intentar conseguir información confidencial de forma fraudulenta suplantando la identidad. En este caso, las víctimas reciben un correo electrónico que imita a una persona o empresa de confianza. Si el usuario final hace clic en el enlace, se le dirigirá a un sitio web malicioso. El siguiente paso que se le pide a la víctima es que ingrese sus credenciales, con el objetivo de robar su identidad. De esta forma, se recomienda acceder a las páginas web escribiendo la dirección directamente en el navegador.

Dicho esto, ¿qué trucos existen para evitar ser víctima de phishing? Conviene destacar los siguientes, en base al criterio de la Oficina de Seguridad del Internauta (OSI):

    • Sé precavido ante los correos que aparentan ser de entidades bancarias o servicios conocidos (Dropbox, Facebook, Google Drive, Apple ID, Correos y Telégrafos, Agencia Tributaria, etc.) con mensajes que no esperabas, que son alarmistas o  extraños.
    • Sospecha si hay errores gramaticales en el texto, pueden haber utilizado un traductor automático para la redacción del mensaje trampa. Ningún servicio con cierta reputación enviará mensajes mal redactados.
    • Si recibes comunicaciones anónimas del tipo “Estimado cliente”, “Notificación a usuario” o “Querido amigo”, es un indicio que te debe poner en alerta.
    • Si el mensaje te obliga a tomar una decisión de manera inminente o en unas pocas horas, es mala señal. Contrasta directamente si la urgencia es real o no directamente con el servicio o consultando otras fuentes de información de confianza: la OSI, Policía, Guardia Civil, etc.
    • Revisa si el texto del enlace que facilitan en el mensaje coincide con la dirección a la que apunta, y que ésta corresponda con la URL del servicio legítimo.
    • Un servicio con cierto prestigio utilizará sus propios dominios para las direcciones de email corporativas. Si recibes la comunicación desde un buzón de correo tipo @gmail.com, @outlook.com o cualquier otro similar, sospecha.
    • Aplica la ecuación: solicitud de datos bancarios + datos personales = fraude.

Asimismo, existen una serie de recomendaciones si somos víctimas de un phishing:

    • Recopilar toda la evidencia posible (correos electrónicos, archivos enviados, conversaciones, etc.).
    • Para los casos de phishing bancario, contactar con tu oficina bancaria para informarles de lo sucedido con tu cuenta online.
    • Modificar la contraseña de todos los servicios que hayan podido ser víctimas.
    • Presentar una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado (FCSE).

Por otro lado, el vishing es una estafa de ingeniería social por teléfono en la que, a través de una llamada, se suplanta la identidad de una persona o entidad de confianza, con la finalidad de obtener datos personales de la víctima.

Dicho esto, ¿qué buenas prácticas existen para evitar ser víctima de vishing? Conviene destacar los siguientes, en base al criterio de la Oficina de Seguridad del Internauta (OSI):

    • Verificar la identidad del remitente. Si nos aparece un número desconocido en la pantalla de nuestro teléfono, una alerta de spam o no nos convence, es conveniente comprobar el número de teléfono en buscadores de Internet para ver si está relacionado con algún tipo de fraude.
    • No hacer clic ni seguir sus indicaciones. Es común que los atacantes se sirvan de mensajes y correos automatizados para engañar a sus víctimas o conseguir que descarguen algún malware.
    • No compartir información personal y datos sensibles con un desconocido.

En caso de que caer en la trampa de los ciberdelincuentes, la OSI establece una serie de recomendaciones si somos víctimas de un vishing:

    • Escanear nuestro dispositivo con un antivirus actualizado.
    • Eliminar archivos que hayamos descargado del correo.
    • Bloquear el número que nos haya contactado.
    • Cambiar las contraseñas de las cuentas que hayan podido ser vulneradas.
    • Activar la verificación en dos pasos en las cuentas que lo permitan.
    • Contactar con el banco para cancelar cualquier pago no autorizado o cancelar nuestra tarjeta en caso necesario.
    • Recopilar todas las pruebas posibles y denunciarlo ante las Fuerzas y Cuerpos de Seguridad del Estado.

Por último, el smishing es una estafa de ingeniería social que utiliza mensajes de texto en forma de SMS o a través de aplicaciones de mensajería instantánea. El ciberdelincuente suplanta la identidad de una persona de confianza para su víctima, con el objetivo de engañarla y lograr que comparta información sensible, haga clic en enlaces maliciosos o se descargue un archivo adjunto infectado.

En este punto, ¿qué medidas de seguridad deberíamos adoptar para protegernos? La OSI menciona pautas a seguir para identificar y protegernos del smishing:

    • Desconfiar de remitentes desconocidos. Si recibimos un mensaje de una persona o entidad desconocida informándonos de un premio o solicitando información, lo más prudente será ignorar y eliminar el mensaje.
    • Desconfiar de promociones, cupones o concursos. Suelen utilizarse como anzuelos para obtener la atención de los usuarios y conseguir que accedan a enlaces fraudulentos o contactar con un número de teléfono de tarificación especial, por ejemplo.
    • No facilitar nunca información personal. Una entidad de confianza jamás nos solicitará datos personales sin previo aviso, y mucho menos a través de un mensaje.
    • No hacer clic en los enlaces, ya que pueden llevarnos a webs fraudulentas. Es mejor contrastar la información primero y acceder a las páginas oficiales tecleando la URL en el navegador.
    • No descargar archivos adjuntos, pueden contener malware con el que infectar nuestro dispositivo.
    • Proteger nuestras cuentas. Utilizar contraseñas robustas y sistemas de doble factor de autenticación permitirá añadir una capa extra de protección.

En caso de que caer en la trampa de los ciberdelincuentes, la OSI establece una serie de recomendaciones si somos víctimas de un smishing:

    • Recabar todas las evidencias posibles (capturas de pantalla, datos de contacto e información personal compartida con los ciberdelincuentes). Estas evidencias habrá que presentarlas ante las Fuerzas y Cuerpos de Seguridad del Estado.
    • Cambiar las credenciales de acceso que creamos que han podido ser vulneradas.

artículos relacionados