Engaños virtuales: claves para detectarlos y actuar a tiempo

Por el Ing. Pablo Rodríguez Romeo, Perito Informático Forense, especialista en Seguridad – Socio del Estudio CySI de Informática Forense – www.cysi.com.ar

El uso de ingeniería social es la puerta de entrada más común para los ataques virtuales.

Uno de los mayores riesgos en internet ya no proviene de vulnerabilidades técnicas en los sistemas, sino de la manipulación psicológica de las personas. Esto es lo que comúnmente conocemos como “ingeniería social” y ha demostrado ser una de las herramientas más efectivas para los engaños virtuales.

Mediante diversas técnicas, los atacantes logran que las víctimas entreguen voluntariamente información confidencial o accedan a enlaces y archivos maliciosos, abriendo así la puerta a ciberataques que pueden generar grandes inconvenientes. A medida que las tecnologías de protección avanzan, los delincuentes recurren cada vez más a explotar el eslabón más débil: el factor humano. Se valen de diversos métodos que reciben nombres complejos, como phishing, vishing, smishing y pretexting, pero que en definitiva buscan el mismo y sencillo objetivo: engañar a las víctimas para que voluntariamente entreguen datos sensibles que les permitan amplificar el ataque.

A continuación, haré un repaso de los métodos de ingeniería social más utilizados en el último tiempo para detectarlos a tiempo y no caer en el engaño.

El phishing es uno de los métodos de ingeniería social más comunes. Consiste en engañar a las víctimas para que revelen información confidencial (como contraseñas, números de tarjetas de crédito, etc.) a través de correos electrónicos o sitios web fraudulentos que imitan servicios legítimos. Los atacantes juegan con la confianza del usuario para cometer el delito y apelan al sentido de la urgencia para que las víctimas actúen rápido, sin verificar la legitimidad del mensaje.

El vishing (voice phishing) es una variante del phishing que utiliza el teléfono para manipular a las víctimas. Los atacantes llaman haciéndose pasar por representantes empresas legítimas, como bancos, proveedores de servicios técnicos o entidades gubernamentales, para solicitar información sensible, como detalles de tarjetas de crédito, claves bancarias o incluso accesos remotos a dispositivos. Así, utilizan la autoridad de estas entidades para crear pánico y obtener datos rápidamente sin que la víctima cuestione la legitimidad de la llamada.

El smishing es el phishing llevado a cabo a través de mensajes SMS o servicios de mensajería instantánea, como por ejemplo Whatsapp. Aquí se utiliza el texto para inducir a las víctimas a hacer clic en enlaces maliciosos o revelar información sensible. En estos casos, los atacantes aprovechan la inmediatez y la familiaridad del SMS o el chat y el sentido de urgencia (“actúe ahora”) para cometer los ataques.

El pretexting implica crear una historia falsa o pretexto para ganarse la confianza de la víctima y extraer información confidencial. A diferencia de los otros métodos, éste se basa más en una interacción prolongada y personalizada con la víctima. La creación de confianza es el elemento clave. Los atacantes construyen una identidad creíble a lo largo del tiempo, haciendo que la víctima baje la guardia y revele detalles que normalmente no compartiría. Pueden utilizar información obtenida previamente (por ejemplo, de redes sociales) para hacer su historia más creíble.

El baiting utiliza una tentación para atraer a las víctimas y hacer que descarguen malware o entreguen información confidencial. A menudo se ofrece un incentivo que parece demasiado bueno para ser verdad. Los atacantes explotan la curiosidad o el deseo de obtener algo gratis, lo que lo hace particularmente efectivo porque juega con los deseos básicos de las personas.

No quedan dudas que estas técnicas de ingeniería social son difíciles de prevenir solo con medidas técnicas, por no decir imposible. Por eso, es fundamental educar a las personas para que sean conscientes de ellas y adopten medidas preventivas, como la verificación de la autenticidad de las comunicaciones y la implementación de controles estrictos para proteger la información.

Pero tan importante como esto, es también utilizar contraseñas seguras en los dispositivos y aplicaciones, activar el segundo factor de autenticación en aquellas que lo permitan como capa adicional de seguridad, mantener siempre actualizadas las aplicaciones que utilizamos con frecuencia ya que permiten salvar brechas de seguridad que podrían ser explotadas por los atacantes, guardar las claves privadas en sistemas de almacenamiento seguros, y evitar el uso de wifi públicas siempre que se pueda, entre otras.

Hoy en día los ataques no están orientados a las plataformas tecnológicas sino a las personas. Como venia diciendo, es más fácil vulnerar a una persona que a un sofisticado sistema de seguridad, como puede ser el de un banco. Entonces, cuando decimos “me hackeraron el HomBanking”, “me hackeron el WhatsApp”, es un error. La realidad, es que nos hackean a nosotros mismos para acceder a ellos.