2. ROBO DE DATOS
Uno de los tesoros más codiciados por los ciberdelincuentes es la obtención de datos
personales e información confidencial de sus víctimas. Esta información puede ser vendida o
utilizada para realizar actividades no consentidas tales como compras online y pagos mediante el
uso de tarjetas de crédito, transferencias u otras operaciones bancarias, suscripciones a servicios
premium…
Esta información puede obtenerse mediante programas espía (spyware) y keyloggers
(detectores de pulsación y tecleo que permiten conocer la navegación realizada y obtener
contraseñas e información sensible del usuario) o mediante estrategias de ingeniería social como,
por ejemplo, el phishing (la suplantación de la identidad de una organización, empresa o entidad
conocida con cierta reputación y prestigio) o mediante engaños más o menos elaborados que
ofrecen ofertas, recompensas y premios, contenidos atractivos o solicitan ayuda ante algún tipo de
alarma o urgencia social apelando a la solidaridad de las víctimas…
3. CIFRADO O BORRADO DE
INFORMACION
Algunos de los primeros virus informáticos tenían la intención de molestar a su víctima, como
consecuencia borraban archivos y destruían información. La progresiva sofisticación de los
programas malignos llevó a la aparición de nuevas formas como los llamados secuestradores o
ransomware (del inglés ‘ransom’ -rescate- y software) como el célebre Virus de la Policía o los
recientes WannaCry o NotPetya. Este tipo de programas malignos cifra la información contenida en
el dispositivo y/o bloquea la utilización del equipo impidiendo el acceso a la misma. Habitualmente,
solicitan el pago de un rescate a cambio de la clave para desbloquear el equipo o para descifrar los
archivos. Suelen presentarse disfrazados de una acusación por parte de una autoridad real (policía,
agencia tributaria…) que señala a la víctima como responsable de haber cometido una supuesta
falta o un delito cuyo castigo preventivo es el bloqueo del dispositivo o el cifrado de la información y
por el que debe pagar una multa.
4. SUPLANTACION DE
IDENTIDAD
Cuando un ciberdelincuente consigue el control remoto de un dispositivo o cuando ha obtenido los datos personales,
claves y contraseñas de un usuario puede suplantar su identidad y realizar envíos de correos electrónicos en nombre de
la víctima, publicar en sus perfiles en redes sociales, utilizar sus servicios de mensajería instantánea (spam, enlaces que
dirigen a páginas maliciosas o con adjuntos peligrosos, poner en circulación bulos -hoax-, dañar tu reputación, ciberacosar
a otras personas… ), realizar compras o pagos online a nombre y cuenta de la víctima, operar con sus cuentas corrientes
y activos financieros mediante banca electrónica, contratar servicios y suscripciones premium de alto coste…
Además, cuando un atacante toma el control de tu correo electrónico o del perfil en una red social puede también
cambiar la contraseña de acceso y los métodos alternativos de recuperación de cuenta de modo que no puedas volver a
acceder a la misma, ni recuperar tu información. Además tendrá acceso a tus contactos y a la documentación adjunta que
has enviado o recibido (DNI, recibos, facturas, nóminas, declaraciones de impuestos, información bancaria, fotografías,
vídeos…).
También hablamos de suplantación de identidad cuando un atacante se hace pasar por una entidad, organización,
empresa u otro particular que tiene cierto prestigio y resulta confiable para obtener datos personales e información
confidencial mediante phishing.
5. FRAUDES Y ROBO DE
DATOS
. El fraude electrónico (scam) es una actividad delictiva que se lleva a cabo a través de medios como Internet,
ordenadores y dispositivos móviles que frecuentemente utiliza recursos de ingeniería social para hacerse efectivo.
Existen numerosos y muy diversos casos de fraudes electrónicos (falsas notificaciones, botones de descargas
fraudulentos que llevan a sitios web maliciosos, facturas falsas, premios, ofertas y loterías, tiendas online de venta
de artículos falsificados, chollos de primera o segunda mano, aplicaciones fraudulentas que te suscriben a servicios
Premium, falsas recompensas o ventajas en juegos, las falsas alertas de infección que te venden un falso antivirus
(rogueware) o te suscriben a un innecesario servicio periódico (incluso de alto coste) o los anteriormente
mencionados casos de phishing con robo de información sensible que se utiliza para apropiarse de dinero.
A continuación vamos a ver qué es la ingeniería social, algunos de los fraudes más extendidos y qué hacer en
caso de descubrir o ser víctima de un fraude electrónico.
.
6. INGENIERIA SOCIAL
En el ámbito de la ciberseguridad, con ingeniería social nos referimos a un conjunto de técnicas derivadas de la psicología social que son utilizadas por
ciberdelincuentes para embaucar y engañar a sus víctimas.
La ingeniera social se aprovecha de lo que podríamos llamar “vulnerabilidades humanas” (empatía y solidaridad ante desgracias y catástrofes, curiosidad ante noticias de
famosos o relacionadas con acontecimientos, deseabilidad social, necesidades económicas, ingenuidad, codicia…) para robar información y estafar a sus víctimas. Se basa en el
axioma de que los usuarios son el eslabón más débil de un sistema. Es decir, es más fácil engañar a un usuario para que te dé las claves de su banca online que hackear el
sistema de banca online y conseguir las credenciales.
Podemos clasificar los fraudes que hacen uso de ingeniería social en dos grandes grupos.
Hunting (cazar): Buscan obtener una información específica de manera rápida estableciendo un contacto directo breve. Ejemplo de este tipo de fraude sería el phishing
bancario por correo que veremos más adelante.
Farming (cosechar): Pretende mantener el engaño durante más tiempo poniéndose en contacto con la víctima de manera repetida para recabar más información y obtener
una posición de poder sobre ella que permita al ciberdelincuente estafar una mayor cantidad o hacerlo de manera continuada. Ejemplos típico de farming serían las falsas herencias o
relaciones amorosas.
Algunos de los principios básicos de psicología social en los que se basa la ingeniería social, y que también son utilizados en marketing, son:
Aquiescencia: No nos gusta decir “No”
Confianza: A priori confiamos en el otro, sobre todo si este ha sido amable y está alineado con nuestros intereses. Este principio se complementa con el de Reciprocidad.
Reciprocidad: Si alguien nos da algo, tendemos a dar algo a cambio.
Urgencia: Ante una llamada a la urgencia tendemos a valorar menos las opciones y a decidir con rapidez.
Autoridad: Tendemos a confiar más y a ser más aquiescentes con personas que ostentan cargos mayores.
Validación social: Queremos ser aprobados por otros y nos gusta que nos alaben.
Consistencia: Tendemos a terminar aquello que empezamos y si ya hemos dicho que “sí” a algunas cosas que se nos han pedido, es más probable que aceptemos
hacer algo posteriormente aunque la petición nos resulte más extraña, rara o inusual.
Empatía: En principio, todos queremos ayudar al prójimo.
.
7. PHISHING
Denominamos Phishing a la técnica utilizada por ciberdelincuentes para obtener información personal confidencial y sensible, especialmente
información bancaria con el objetivo de defraudar a la víctima. Para perpetrar el engaño los ciberdelincuentes hacen uso de prácticas propias de la
ingeniería social tras suplantar la identidad de una entidad legítima como puede ser un banco, una administración pública, una red social o un servicio
de cualquier tipo.
El término phishing proviene de la palabra inglesa fishing (pescar) ya que lo que pretenden los ciberdelincuentes (phishers) es que los internautas
“muerdan el anzuelo”.
El medio de propagación por antonomasia de este tipo de fraude es el correo electrónico aunque cada vez es más hay más ataques en redes
sociales, SMS (en este caso hablamos de, SMiShing la contracción de SMS phishing) o MMS o apps de mensajería. Estas variantes son todavía más
peligrosas pues se perciben como más personalizadas que el email y muchas veces nos llegan como recomendaciones o reenvíos de nuestras amistades lo
que refuerza su atractivo y nuestra confianza.
Si bien algunos de estos engaños están muy bien urdidos, hay una serie de características que deben ponernos en alerta:
El mensaje no está personalizado.
La redacción es incorrecta.
Nos pide hacer algo con urgencia.
Nos ofrece un regalo o descuento a cambio de facilitar nuestros datos.
Pide información bancaria o confidencial.
El enlace apunta a direcciones que la entidad no suele usar o están mal escritas.
8. COMPRAS EN LINEA
Comprar online nos permite realizar adquisiciones cómodamente a cualquier hora del día sin desplazarnos y eligiendo entre un sin fin de
productos. Es por ello que, año tras año, se incrementa el número de personas que realizan transacciones de este tipo.
A la hora de realizar compras online debemos tomar una serie de precauciones que nos protejan ante fraudes.
Antes de comprar debemos asegurarnos de que nuestro dispositivo está correctamente protegido con un antivirus y actualizado. Además
debemos evitar realizar transacciones económicas desde redes wifi públicas.
Intentaremos confirmar que la tienda online (o el vendedor) es de confianza leyendo las opiniones de otros compradores en la red.
Revisaremos la información proporcionada por la tienda online referidas a identificación, políticas de datos y condiciones de compra,
envío y devolución.
Comprobaremos que la información que transmitimos a través de dicha web esté cifrada, comprobando que la URL comienza por
HTTPS (verás que estas muestran un candado en la barra de navegación).
En cuanto al medio de pago, aquellas que permiten realizarlo mediante plataformas de pago como PayPal nos ofrecen una seguridad
extra.
También nos brindan una confianza extra los sellos de e-commerce aunque es importante comprobar que, efectivamente, los tienen y
que no es solo una imagen que han colocado en la web.
9. BULOS O H0AX
¿Te suenan los siguientes mensajes?
¡Atención! X servicio va a pasar a ser de pago en los próximos días. Reenvía este mensaje a 10 contactos para que no te cobren.
El hijo de un compañero mío necesita urgentemente un donante de un tipo sanguíneo muy raro. Por favor reenvía este mensaje a ver si le
podemos salvar la vida. El número es 111111111.
Acaban de poner a la Policía en máxima alerta terrorista por riesgo de atentado inminente ¡No vayas a lugares concurridos! Reenvía este mensaje a
todos tus contactos para protegerles.
Los enfermos de X necesitan recaudar fondos para que sigan investigando una cura. Por cada visionado de este vídeo la empresa X donará 1€
¡Difúndelo entre tus contactos!
Hay una nueva banda muy peligrosa operando en la zona. Te ofrecen oler un perfume pero es axter y entonces te desmayas y te roban ¡Protege a
tus seres queridos! ¿Díselo!
10. BULOS O H0AX
Estos perros necesitan un hogar o serán sacrificados mañana. ¡Llama a la Protectora X al 111111111. Si tu no puedes adoptarles tal vez alguno de
tus contactos sí ¡Sálvales la vida! ¡Reenvía este mensaje!
Es muy probable que a tu buzón de correo o app de mensajería instantánea hayan llegado bulos como estos mediante interminables cadenas.
Estos bulos electrónicos, conocidos también por su término inglés hoax, buscan ser distribuidos de manera masiva con el objetivo de crear un
cierto estado de ánimo u opinión, recopilar datos personales, lucrarse o, incluso, distribuir malware o cometer estafas.
Entre sus características están: ser anónimos, ser alarmistas, contener una petición de reenvío, ser atemporales…
Si recibes un mensaje de estas características lo primero que debes hacer es comprobar la veracidad del mismo consultando fuentes fiables y no
descargar ni abrir ningún fichero y si lo haces analizarlo antes con un antivirus. Tampoco se recomienda clicar en ningún enlace hasta haberlo
comprobado.
Como norma general de higiene digital, se recomienda no participar en reenvíos de cadenas que no hayas verificado personalmente y que no sean
de especial interés para los destinatarios. En caso de hacerlo por correo es imprescindible mantener los datos de tus contactos a salvo haciendo uso de la
opción CCO.
11. ESTAFAS ROMANTICAS
Las estafas románticas o romance scam son el ejemplo paradigmático de los fraudes que hacen uso de técnicas de
ingeniería social de tipo “cultivo” (farming). Tras el intercambio de un montón de mensajes y, en muchas ocasiones, también
archivos de contenido erótico (sexting), el ciberdelincuente que se esconde tras ese falso perfil de persona seductora y
maravillosa pide a la otra parte dinero para pagar algun imprevisto.
En muchas ocasiones estas peticiones económicas se suceden y en caso de que la víctima muestre su disconformidad a
abonarlas, además de al chantaje emocional, a veces es sometida a sextorsión: la exigencia del pago a cambio de no difundir el
material erótico que se le ha enviado en la confianza de la supuesta relación que mantenían.
El fraude puede labrarse en sitios web de citas online, a través de correos SPAM o a través de mensajes privados en
redes sociales. En estas últimas, uno de los modelos en auge es la creación de cuentas bots -programas informáticos que
imitan el comportamiento humano- que mantienen “conversaciones” con la víctima hasta que consiguen dirigirle a una web
fraudulenta.