Acceder a Internet por un motivo u otro es una necesidad para la mayoría de la gente, igual que conducir un vehículo. Pero tanto en un caso como en el otro, hay riesgos. De hecho, según la Agencia de Seguridad de Infraestructuras y Ciberseguridad de Estados Unidos, uno de cada tres hogares con ordenadores está infectado por software malicioso. Y el 65% de los estadounidenses que navegan por la red reciben al menos una oferta fraudulenta. Igual que aprendemos a conducir para evitar peligros, podemos aprender a identificar y evitar ciberataques para proteger nuestra información de los envites de los ciberdelincuentes.
Aunque la mayoría de las ciberamenazas pueden desactivarse automáticamente usando servicios antivirus, firewalls u otras medidas de protección, las más peligrosas aprovechan el componente humano para sortear estas defensas. En algunos casos, los delincuentes interactúan directamente con la víctima (estos supuestos entrarían dentro de la categoría de ingeniería social) y en otros tienden una trampa con la esperanza de que un usuario poco precavido muerda el anzuelo (por ejemplo, aplicaciones falsas comercializadas en tiendas de aplicaciones no reguladas). En este artículo veremos estos dos tipos de amenazas y descubriremos cómo evitarlas. Y nos fijaremos también en la reutilización de contraseñas, el peligro que representa y cómo evitar cometer este tipo de errores.
Ingeniería social
Ingeniería social es un término que se utiliza para describir un amplio abanico de actividades fraudulentas con un patrón similar, concretamente, la interacción directa con la víctima (a través de correo, SMS, llamadas telefónicas u otros métodos) para que facilite información confidencial o acceda a un sitio web diseñado para infectar su ordenador con malware. Aunque todos estos ataques tienen un componente humano, los métodos y las señales de alerta van cambiando. A continuación vamos a repasar los principales tipos de ataques de ingeniería social. Phishing Se trata del ciberataque más habitual y las cifras lo corroboran: cada día se envían unos 3.400 millones de correos de phishing. A simple vista, estos correos parecen tener un origen legítimo y recurren a diferentes temas o enfoques, conocidos como “cebos”, para captar la atención del destinatario y conseguir que interactúe. A veces estos cebos tienen relación con las vacaciones o desastres naturales. Otras son correos de una empresa que informa de la filtración de la cuenta del receptor o incluye una “factura” falsa de una compra reciente con un importe considerable con un tiempo limitado para responder en caso de cobro incorrecto. Estos correos ponen presión psicológica en el destinatario para que responda, ya sea por su propio interés o para evitar ser víctima de otro fraude. Cómo protegerse de los ataques de phishing Tradicionalmente uno de los signos de alerta más reveladores eran las faltas de ortografía y gramática. Sin embargo, con la generalización del ChatGPT y otros grandes modelos de lenguaje, ahora los ciberdelincuentes lo tienen más fácil para crear correos con una gramática impecable y un contenido convincente, que son mucho más difíciles de detectar. El mejor consejo es extremar las precauciones al recibir consejos de remitentes desconocidos y seguir estas recomendaciones:- Lea con atención toda la información del remitente en correos que le pidan que haga clic en un enlace o que llame a un centro de atención al cliente. Por ejemplo, podemos encontrarnos con un correo de una empresa conocida, pero al revisar la dirección del remitente darnos cuenta de que el dominio no es el esperado, como en el ejemplo siguiente:
- No haga clic en enlaces incluidos en correos enviados por remitentes que no conozca.
- En caso de duda, póngase en contacto directamente con la empresa que teóricamente le ha enviado el correo para asegurarse de que es legítimo, pero utilice la información de contacto que aparece en el sitio web principal de la empresa.
- Deje que su gestor de contraseñas le eche una mano. Si tiene activada la función de autocompletado de las cuentas conocidas, pero la información no se rellena automáticamente en el sitio web que ha visitado, quizás esté ante un caso de phishing.
- Permita a las personas que llaman desde números no conocidos dejar un mensaje en su buzón de voz.
- Póngase en contacto directamente con la empresa o la agencia que supuestamente le llama para asegurarse de que todo es correcto. Llame al número que aparece en el sitio web principal de dicha empresa o agencia en lugar de llamar al número indicado por el posible “visher”.
- No responda ni haga clic en enlaces de mensajes de texto que haya recibido sin más.
- Póngase en contacto directamente con la persona que lo ha enviado antes de hacer nada.
- Elimine y, si es posible, denuncie la recepción de mensajes de smishing a su operador de telefonía y a la empresa que teóricamente está detrás del mensaje.
Aplicaciones maliciosas
Algunos delincuentes desarrollan aplicaciones que se parecen muchísimo a las apps de empresas conocidas con el objetivo de robar información o infectar el dispositivo móvil o el ordenador de un usuario con malware. Estas aplicaciones tienen un diseño idéntico a la oficial y pueden ser difíciles de identificar. Sin embargo, son varias las cosas que puede hacer para no caer en las redes de estos clones:- Utilice solo tiendas oficiales de aplicaciones como la App Store de Apple o Google Play.
- Compruebe quién es el desarrollador de la aplicación. Por ejemplo, en el caso de LastPass aparece LogMeIn, Inc. como desarrollador en la App Store de Apple y GoTo Technologies en Google Play. Si aparece otro desarrollador o empresa, estaríamos ante una aplicación maliciosa.
- Fíjese en si hay errores ortográficos o gramaticales en la descripción de la aplicación.
