Home Blog Page 3

Ingeniería Social – La madre de las conductas cibercriminales.

0
ingenieria-social

Por Genaro Delgado – Cofundador de </cyberwag>

Este es el cuarto y último artículo de la serie que titulamos: “Cibercriminales: Las Conductas Criminales más comunes en el Ciberespacio, ¡Conócelas y no Caigas!”

Si no has leído las tres primeras entregas, te recomiendo que hagas click en los siguientes enlaces y no te pierdas la serie completa:

#PHISHING Haz click en este enlace

#SPAM Haz click en este enlace

#SPOOFING Haz click en este enlace

En esta ocasión estudiaremos a lo que llamo la “madre” de las conductas cibercriminales: Ingeniería Social.

¿Por qué la Ingeniería Social es la madre de las conductas cibercriminales? Porque es la metodología creativa-psicológica que consigue que las personas hagan algo de forma voluntaria que de otra forma no harían y que beneficie al atacante, en otras palabras, es el “arte de manipulación psicológica”

Prácticamente todos los tipos de ataques, como los que revisamos en las entregas anteriores, tienen como vertical la Ingeniería Social, es decir, aluden a que las personas son los eslabones más débiles en una “cadena” de seguridad. Podrás tener la contraseña más compleja que se te pudo haber ocurrido, incluso cambiarla diario a través de un algoritmo matemático y alfabético, sin embargo, solo es cuestión que caigas en una de las trampas como SPOOFING y todo se vendrá hacia abajo, tu super contraseña está comprometida y ahora tu información es vulnerable al menos en el sitio donde la usaste. Y todo esto gracias a la creatividad de la Ingeniería Social.

El éxito y proliferación de los ataques de Ingeniería Social ha sido en gran medida causado por el auge y crecimiento del uso de redes sociales, sistemas de mensajería instantánea como WhatsApp, correos electrónicos y la prácticamente la digitalización de nuestras vidas a través de nuestros dispositivos móviles, es decir, mientras más avanza la Sociedad de la Información, más creativa es la Ingeniería Social para sus ataques.

 En Ingeniería Social se suele decir: “Si es humano, es hackeable”, esto es triste, pero es cierto, solo hagamos este razonamiento: ¿Qué firewall o antivirus/antimalware se podría instalar en cerebro humano? Y ¿qué protocolo de configuración se seguiría? La verdad es que no hay software o hardware que sirva para que la creatividad psicológica de la Ingeniería Social no pueda atentar contra las propias vulnerabilidades inherentes al ser humano.

Ahora bien, es importante aclarar que la Ingeniería Social no es simplemente una estafa, o un engaño sin más, de hecho, la Ingeniería Social no tiene por qué perseguir un objetivo malicioso o recurrir siempre al engaño o fraude. Cabe remarcar que los métodos de Ingeniería Social suelen ser usados más comúnmente en áreas de terapias psicológicas o incluso en interrogatorios policiales o análisis forenses. De tal manera que el uso de esta metodología también tiene fines constructivos.

Pero en nuestro caso, lo veremos desde el punto de vista de los cibercriminales. Para que un ciber ataque, desde el punto de vista de Ingeniería Social, sea exitoso, el atacante deberá contextualizar o hacer que tanto el mundo físico como el mundo digital estén dentro de la misma “burbuja” creada para el engaño. Así es como los ataques a través de las técnicas como PHISHING, SPAM y SPOOFING tienen éxito. Esos envíos de email, SMS o mensajes de WhatsApp nos “pescan”, porque muchos de ellos pueden ser dirigidos, es decir tienen mayores coincidencias de nuestra información personal. Por ejemplo, no sería raro que nos llegar un SMS con nuestros nombre de pila, pidiéndonos restaurar nuestra sesión de cuenta bancaria exactamente en la institución donde tenemos nuestra cuenta de débito y cheques, y si no somos cuidadosos, incluso un poco paranoicos, podríamos caer fácilmente… ¿recuerdas que en el artículo pasado, CONDUSEF, incluso lo escuchamos todos los días en la radio en anuncios de gobierno e instituciones bancarias, nos menciona que las instituciones bancarias no piden información para ingresas a sus servicios, o que ese tipo de peticiones suelen ser trampas?, pues bien, muchos de los fraudes bancarios han sido perpetuados por esa irregularidad que en su momento era imperceptible. Ahora bien, ¿cómo llegó esa información personal al atacante para hacer parecer que era real?, tal vez nosotros se la pudimos haber dado en algún momento a través de un formulario que llenamos en físico donde venia preguntas como tu nombre y qué institución de banco prefieres para tus cuentas; recordemos que la Ingeniería Social suele utilizar métodos muy creativos para obtener información que nosotros mismos estamos entregando y que no se obtienen de manera ilícita.

Las metodologías de Ingeniería Social más usuales son:

  • Ataque vía llamada telefónica (Phone SPOOFING). El atacante realiza una llamada telefónica a la víctima haciéndose pasar por alguien más, como un técnico de soporte o un empleado de una institución financiera donde tenemos nuestras cuentas bancarias.
  • Ataque vía SMS (SMS SPOOFING). El atacante envía un mensaje SMS a la víctima haciéndola creer que el mensaje es parte de una promoción o un servicio, si la víctima lo responde puede revelar información personal y “abrir la puerta” a una estafa más elaborada.
  • Ataque vía Internet (PHISHING y SPAM). Los ataques más comunes son vía correo electrónico o conversando con personas específicas en salas de chat como Reddit, servicios de mensajería tipo WhatsApp o foros blogs.
  • Trashing, consiste en buscar información relevante en la basura, como: agendas telefónicas, anotaciones, recibos de teléfono, luz, recibos bancarios, unidades de almacenamiento aparentemente inservibles (CD’s, USB’s, etc.), entre muchas otras cosas.    
  • Crear una situación hostil. El ser humano siempre procura alejarse de aquellos que parecen estar locos o enojados, o en todo caso, salir de su camino lo antes posible. Crear una situación hostil justo antes de un punto de ataque, provoca el suficiente estrés para no revisar al atacante o responder sus preguntas. Este tipo de ataques son muy comunes en los cajeros automáticos donde los atacantes intercambian tarjetas de crédito o débito de la víctima para ser clonadas.
  • Leer el lenguaje corporal. Un ingeniero social experimentado puede hacer uso y responder al lenguaje corporal. El lenguaje corporal puede generar, con pequeños, detalles una mejor conexión con la otra persona. Si la víctima parece nerviosa, es bueno reconfortarla. Si está reconfortada es vulnerable. Actualmente es muy usado en los cajeros automáticos, incluso al salir de los centros comerciales, siendo “ayudados” por extraños amables.
  • Explotar la sexualidad. Técnica casi infalible. Las mujeres que juegan con los deseos sexuales de los hombres. Probablemente suenen raro, pero eso es aprovechar la biología a favor… ¿alguna vez te has preguntado por qué en empresas de telemarketing de dudosa procedencia, contratan a mujeres con acento colombiano o venezolano, para hacer llamadas a varones mexicanos, sobre supuestos préstamos preautorizados o cualquier otro servicio financiero sospechoso?

Kevin Mitnick, el hacker social más reconocido dice: “Puedes gastar una fortuna en tecnología y servicios… y como sea, tu infraestructura de red podría estar vulnerable a la forma más vieja de manipulación” …

Como lo hemos venido diciendo, a través, de esta serie de artículos donde estudiamos un poco las técnicas más comunes de los cibercriminales con el objetivo de protegernos, la seguridad de la información no sólo debe entenderse como un conjunto de elementos técnicos y físicos, sino como un proceso cultural de personas y organizaciones. Si el usuario es el eslabón más débil, deben existir controles que ayuden a disminuir el riesgo que éste pueda representar, y éstos empiezan con concientizarnos y estar continuamente informados de las técnicas y herramientas que los cibercriminales están implementando para volcar un poco nuestras vidas digitales con repercusiones en nuestras vidas en el mundo de los átomos.

SPOOFING – La técnica cibercriminal para suplantar identidades. Conócela y no caigas!

0
spoofing

Por Genaro Delgado – Cofundador de </cyberwag>

Este es el tercer artículo de una seria de 4 entregas semanales. Si no has leído la primera y segunda entrega, te recomiendo que hagas click en los siguientes enlaces y no te pierdas la serie completa:

#PHISHING Haz click en este enlace

#SMPAM Haz click en este enlace

#SPOOFING Haz click en este enlace

#IngenieríaSocial Haz click en este enlace

En esta ocasión estudiaremos la conducta criminal cibernética llamada SPOOFING.

SPOOFING es una técnica, en el mundo de cibercriminales, utilizada para la suplantación de identidad. El objetivo de esta técnica es conseguir acceso a sitios a los que no se está autorizado, con ello obtener la información restringida que permita generar los fraudes en el ciberespacio, incluso de manera física.

Hay varias tipologías del ataque tipo SPOOFING, como lo son: IP SPOOFING, ARP SPOOFING, DNS SPOOFING, WEB SPOOFING, EMAIL SPOOFING y el PHONE SPOOFING.

En nuestro caso solo estudiaremos el WEB, EMAIL y PHONE SPOOFING, ya que son las tipologías que están causando más problemas hoy en día.

Probablemente nuestros lectores de esta serie ya lo visualizaron, todas las técnicas están conectadas de alguna forma u otra, normalmente se mezclan para potenciar el ataque. El SPOOFING podría ser la evolución del PHISHING y SPAM, ya que esta técnica “enmascara” de una manera más sofisticada (normalmente a través de scripts de JAVA, por ello los navegadores como Chrome, Explorer o Mozilla, los desactivan por defecto) el fraude a través de la suplantación de sitios web y ahora “caller ID” de identidades de instituciones financieras con el uso de telefonía celular. Este “enmascaramiento” es más difícil de detectar por la posible víctima, y este tipo de ataque es el que realmente nos ha puesto de “patas para arriba” en nuestras vidas digitales, sobre todo los que usamos servicios financieros web (banca en línea para transferencias bancarias, pagos de impuestos, seguros, etc.)

¿Cómo funciona el ataque de WEB SPOOFING?

Esta tipología es suplantación de una página web real. Simplemente enruta una página falsa, a la que hizo conexión la víctima sin saberlo, hacia otras páginas WEB maliciosas, con el objetivo de obtener información de dicha víctima (información de formularios, contraseñas etc.). El atacante puede monitorear todas las actividades que realiza la víctima. La página WEB falsa actúa de modo normal solicitando la información requerida por la víctima y saltándose incluso la protección SSL (esto es lo que lo hace tan peligroso este tipo de ataques porque normalmente no nos damos cuenta y nuestros antivirus tampoco) La víctima puede abrir la página WEB falsa mediante cualquier tipo de engaño, incluso abriendo un simple link enviado por email (en la técnica de EMAIL SPOOFING el atacante enmascara el nombre de remitente haciendo que parezca con “autoridad”, por ejemplo puede ser que te llegue un correo electrónico de un remitente que diga: “servicioalcliente@bbva.com <bbva@servicosemail.net>”, donde aparentemente viene del remitente “BBVA” pero la verdad es que viene un remitente llamado “servicosemail.net” que está entre los signos < >, el cual no tiene nada que ver con los servicios financieros de la institución BBVA, ese es el remitente real, y lo podemos ver siempre desde cualquier gestor de email como Gmail, Hotmail, yahoo, webmail de dominios empresariales, etc.)

Es importante mencionar que las personas al usar internet, a menudo, toman decisiones relevantes basadas en las señales del contexto que perciben, por ejemplo, se podría decidir teclear los datos bancarios porque se cree que se está visitando el sitio WEB original del banco, esta creencia se podría producir porque el sitio tiene un gran parecido, incluso casi es igual, y hasta sale su URL en la barra de navegación (normalmente enmascarada como los nombres de email que vimos de ejemplo en el párrafo anterior). Por estas razones, los usuarios, podemos ser defraudados fácilmente.

El PHONE SPOOFING, puede ser una llamada telefónica imitando todo el contenido de una institución financiera, o puede ser un SMS que pida reaccionar de manera inmediata, de acuerdo los estudios de Ingeniería Social, que veremos en la cuarta y última entrega de esta serie, las personas podemos entrar muy fácilmente en pánico ante la incertidumbre o lo desconocido.

En el siguiente ejemplo, se muestra un SMS enviado desde un numero de teléfono “normal”, es decir, una línea común que puedes obtener desde 100 pesos en centros de autoservicios. El atacante puede tener un software que elabore de manera aleatoria, pero con un patrón específico, para “crear” los números telefónicos de un país, y enviar el SMS de manera masiva. También pudo haber obtenido una base de datos de números de teléfono celular a través de diferentes medios que pueden ser lícitos. En fin, una vez obtenidos los números de telefonía, simplemente se “lanza el anzuelo” tipo PHISHING y SPAM, y solo es esperar a que caiga alguna víctima para usar Ingeniería Social para seguir con el fraude.

Es importante poner mucha atención cuando nos lleguen SMS de remitentes no conocidos, y sobre todo que pidan acciones extrañas. En este caso, antes de responder el mensaje, no importando qué palabra o qué respuesta mandemos, primero es importante comunicarse con la institución bancaria (si es que coincide nuestra institución bancaria con la del SMS, o revisar el estado de nuestras cuentas a través de la banca móvil (la app instalada en nuestros celulares de la institución bancaria), como lo más probable es que sea un SMS malicioso, entonces simplemente bloquearlo, no contestarlo, repito, no contestarlo.

Imagen relacionada

En este otro ejemplo, nos piden tomar acción a través de un link desconocido, y aunque parezca “verdadero” (ya que usa palabras que tienen que ver con el contexto de todo el mensaje), no lo es, ¿cómo lo podríamos saber?, aunque aparentemente es sencillo y hasta obvio, realmente para muchas personas no es así ya que todo está muy bien contextualizado, es parte de la Ingeniería Social del atacante, que pude ser aleatoria, pero tal vez no.

Imagen relacionada

Veamos el contexto: imaginemos que la posible víctima, efectivamente tiene un iPhone, llega este mensaje, y al hacer click en el link indicado, éste lleva a la víctima a un sitio extremadamente similar al de inicio de sesión de su cuenta iCloud, al colocar el usuario y contraseña y hacer click en “Entrar”, simplemente vuelve a aparecer la pantalla de inicio de sesión de iCloud, en la cual nuevamente inicia sesión y todo normal… lo que realmente sucedió es que en la primer vez que inicia sesión la víctima lo hice en el sitio del atacante donde registró sus credenciales, y la segunda la víctima lo hizo en el sitio verdadero del servicio. Si no hace un cambio de usuario y contraseña pronto, el atacante podría tomar control del servicio de iCloud de la víctima de este ejemplo.

Ahora bien, ¿cómo podemos prevenirnos ante esta evolución de ataque llamado SPOOFING? Estas son algunos consejos que nos dan en CONDUSEF al recibir SMS o Emails de los cuales dudamos su procedencia:

  • Ante cualquier email, SMS o llamada inesperada no proporciones información personal, como números de cuentas bancarias, claves de ingreso o cualquier otra que tenga que ver con tus datos.
  • Si recibes una llamada, email o SMS de algún representante de Banco, aseguradora o institución financiera que te pide verificar tus datos personales, primero comprueba su autenticidad marcando directamente a la institución.
  • Sé precavido y no reacciones emocionalmente, aunque te presionen para entregar información inmediatamente.
  • Acércate con tu Banco para solicitar los mecanismos de prevención y sistemas de alerta de movimientos, ya que esto te permite detectar de manera inmediata cargos o movimientos extraños en tu cuenta.

Créanme que, aunque parece lógico las medidas de seguridad que CONDUSEF nos menciona, al momento de recibir este tipo de ataques, realmente es complejo predecir nuestras reacciones y podemos caer muy fácilmente. Por lo que es necesario que estemos lo más alerta posible y si algo “no nos cuadra” o nos genera demasiada incertidumbre, tenemos que acostumbrarnos a “parar”, y primero poner los hechos y contextualizarlos, de tal manera que la información que estemos obteniendo de las diferentes fuentes llámese email, SMS o llamada tengan sentido para tomar decisiones “pensadas” y no por instinto o emocionales simplemente.

SPAM – Ten cuidado con los mensajes “basura”. Pueden engañarte.

1
spam

Por Genaro Delgado – Cofundador de </cyberwag>

Este es el segundo artículo de una seria de 4 entregas. Si no has leído la primera entrega, te recomiendo que hagas click en el siguiente enlace y no te pierdas la serie completa:

#PHISHING Haz click en este enlace

#SMPAM Haz click en este enlace

#SPOOFING Haz click en este enlace

#IngenieríaSocial Haz click en este enlace

En esta ocasión estudiaremos la conducta criminal cibernética llamada SPAM.

De acuerdo a la enciclopedia de terminología de Kaspersky (https://encyclopedia.kaspersky.com/glossary/spam/), el SPAM es el nombre comúnmente dado a los correos electrónicos no solicitados. Es publicidad no deseada, el correo electrónico equivalente al correo basura.

SPAM como técnica en el mundo cibercriminal, permite a delincuentes informáticos, a través de la difusión masiva de correos electrónicos, y aprovechando la ingenuidad de sus víctimas, conseguir comúnmente lo siguiente:

  • Ganar dinero con el porcentaje pequeño de destinatarios que realmente responden al mensaje (incluso de manera legítima como comisión de ventas por campañas de mailing)
  • Realizar estafas de PHISHING con el fin de obtener contraseñas, números de tarjetas de crédito, datos de cuentas bancarias, etc.
  • Propagar código malicioso en los dispositivos de los destinatarios

Ahora bien, el SPAM es una de las técnicas más antiguas, y tanto existe en el mundo digital como en el mundo físico (¿alguna vez te dejaron un sinnúmero de flyers en tu auto o casa de servicios que no solicitaste información?… eso es SPAM físico)

Por lo anterior, el SPAM no necesariamente tiene que ser algo ilegítimo o falsificado, como en el caso de PHISHING, por esta situación muchas de las acciones del PHISHING vienen acompañadas por campañas masivas de mailing que terminan en SPAM malintencionado.

Es decir, la técnica de SPAM se ha convertido en el medio que facilita a técnicas como PHISHING y el SPOOFING (ya hablaremos de esta técnica en la entrega 3 de esta serie de artículos) obtener direcciones de email para propagar sus mensajes engañosos. ¿Cómo se obtienen estas direcciones de email?… sobre todo, a través de cadenas de correo o mensajes que permiten rastrear y guardar en una base de datos las direcciones de email que contestan o reenvían.  Por ejemplo, ¿alguna vez te ha llegado un email de publicidad que tú no solicitaste, pero tiene un botón de “Eliminar Suscripción” y cuando le das click en ello, te pide tu email?, bueno, pues acabas de inscribirte en una lista de correos SPAM más grande. Ahora sí, esa cuenta de correo tuya podría ser usada para PHISHING.

Revisemos el siguiente ejemplo de correo SPAM.

En la imagen se muestra un correo SPAM donde nos invitan a una charla del “LOBO de WALLSTREET”, la posible víctima no solicitó dicha información, por lo que podemos clasificar este mensaje como “basura”, pero si lo analizamos, no tiene algún rastro que sea ilegítimo el servicio anunciado, incluso si hacemos una búsqueda en Google sobre la oferta, la encontraremos. Entonces, ¿por qué podría ser peligroso? Bueno, al responderlo o pedir más información vía email o WhatsApp, como lo sugiere el mensaje, prácticamente “abrimos” la puerta a más mensajes masivos o PHISHING a través de email o mensajería instantánea, y ahora si somos vulnerables para fraudes cibernéticos.

¿Qué podemos hacer? Primero, no dar click en alguna de los links del anuncio, y si es SPAM que logró “colarse” a nuestra bandeja de entrada, entonces clasificarlo inmediatamente como SPAM en nuestro servicio de correo electrónico para que no vuelva a entrar mensajes de este remitente. En segundo lugar, tomar algunas medidas de seguridad para no estar recibiendo este tipo de mensajes:

  • Protege tu computadora o dispositivo móvil con un software de seguridad (antivirus)
  • No publiques tu dirección de correo electrónico privada en recursos online a los que se puede acceder públicamente (por ejemplo, plataformas de videojuegos, matching de parejas, medios de comunicación de dudosa procedencia, etc.)
  • No respondas nunca a ningún tipo de SPAM, solo clasifícalo y bórralo. La mayoría de los emisores de spam comprueban la recepción y registran las respuestas. Cuantas más veces respondas, más SPAM recibirás. Esto incluye en la liga que dice: “Cancelar suscripción” ya que puede ser falso y con el fin de verificar tu dirección de email. No hagas clic en los enlaces de cancelación de suscripciones que aparecen en los correos electrónicos procedentes de fuentes desconocidas.
  • Mantén tu navegador actualizado. Asegúrate de que utilizas la versión más reciente de tu navegador web y que se han aplicado todos parches más recientes de seguridad en Internet.
  • Utiliza filtros antispam. Elige una solución de seguridad en Internet y antivirus que también incluya funciones antispam avanzadas.
  • Si en algún momento o sitio, tienes que publicar tu dirección de correo electrónico privado (Gmail, Hotmail, entre otros), intenta enmascararla para evitar que los emisores de spam la detecten. Por ejemplo, “juan.penas@gamail.com” es una dirección que los emisores de spam pueden encontrar fácilmente. Intenta escribirla de la siguiente forma: “juan-punto-penas-en-gmail-punto-com” o en forma de archivo gráfico en lugar de un enlace.

Como lo comentamos en la primera entrega de esta serie de técnicas de cibercrímenes, la mejor manera de hacer frente a este tipo de ataques cibernéticos es concientizarnos y estar continuamente informados de las técnicas y herramientas que los cibercriminales están implementando para volcar un poco nuestras vidas digitales con repercusiones en nuestras vidas en el mundo de los átomos.

PHISHING – La conducta cibercriminal más común. ¡Conócela y no caigas en ella!

1

Por Genaro Delgado – Cofundador de </cyberwag>

Este es el primer artículo de una seria de 4 entregas. En esta serie describiremos 4 conductas criminales que aplican más comúnmente los delincuentes informáticos, estas conductas son: PHISHING, SPAM, Spoofing e Ingeniería Social.

Aquí te dejamos con los enlaces de la serie completa:

#PHISHING Haz click en este enlace

#SMPAM Haz click en este enlace

#SPOOFING Haz click en este enlace

#IngenieríaSocial Haz click en este enlace

Actualmente los ataques cibernéticos mezclan dos o más de estas conductas maliciosas, por lo cual los ataques, que se convierten en fraudes, suelen ser más elaborados y difíciles de detectar, y hasta personas expertas en el tema de ciberseguridad también pueden caer fácilmente. Así que, si alguna vez fuiste víctima de algún fraude hecho vía email o por teléfono, no te sientas mal, todas personas son vulnerables a ser defraudados, pero esto no es una razón para cruzar los brazos, al contrario, mientras más conozcamos de los modus operandi de estos delincuentes, siempre disminuiremos en gran medida las probabilidades de que nos “ataquen”

Empecemos con la descripción de la conducta llamada PHISHING.

El llamado PHISHING es una técnica en el mundo cibercriminal donde los atacantes, para “pescar” a sus víctimas, normalmente utilizan correo electrónico, mensajes SMS y otras aplicaciones de comunicación como WhatsApp, incluso llamadas telefónicas, y a través de éstos medios emplean links que dirigen a otros sitios maliciosos a nombre de instituciones bancarias o compañías de servicios que son muy comunes, por ejemplo servicios de telefonía celular, servicios de televisión o internet, CFE, servicios municipales, el SAT, entre muchos otros; el objetivo es que la víctima introduzca números de cuenta, contraseñas, números de tarjeta, o cualquier otro dato que permita al atacante apoderarse de toda esa información para robo de identidad, falsificación de instrumentos de crédito financiero, uso de las contraseñas para probar en otros servicios y clonarlos.

Vamos a revisar algunos ejemplos que la gente ha subido como denuncia en blogs de ciberseguridad:

Resultado de imagen para ejemplo de phishing

La imagen anterior viene del blog: https://blogs.protegerse.com/

Es un ejemplo de cómo, a través de redireccionamiento de sitio web malicioso, el atacante engaña o “pesca” a sus víctimas haciéndoles creer que su cuenta bancaria está comprometida.

¿Cómo podríamos detectar el fraude? Algunos puntos son muy peculiares en este tipo de correos electrónicos.

  1. El remitente frecuentemente tiene un dominio totalmente ajeno a la institución bancaria, en este caso el remitente es info@graexcon… el cual evidentemente no tiene nada que ver con Bancomer BBVA.
  2. Normalmente el cuerpo del correo (contenido en texto o gráfico) suele tener faltas de ortografía o errores gramaticales muy marcados. Si vuelven a leer el cuerpo del correo de este ejemplo, lo notarán (prácticamente hay un error ortográfico y gramatical en cada línea)
  3. Los links (o botones de “presione aquí”) que el atacante activa para “pescar” a sus víctimas, comúnmente tienen dominios URL (el nombre del sitio web al cual dirige el link) muy dispares de acuerdo con el supuesto remitente oficial. En este caso el botón que dice: “Acceder a mi”, (en sí esta leyenda en el botón ya es rara por tener un error gramatical, ojalá puedas notarlo) si posicionamos nuestro mouse sobre el botón sin hacer click en él, podemos ver que la dirección URL al cual dirige ese link es una llamada: fortyone.web… sobra decir que no tiene nada que ver con Bancomer BBVA

Revisemos uno un poco más difícil. El siguiente caso fue subido al blog https://blog.bankinter.com/

En este caso, tal vez el link nos pudo haber llegado por email, SMS, o cualquier otro medio, incluso a través de una “popup” web (esos anuncios que salen continuamente en sitios para descargar de películas, libros, software, entre otros de manera ilegal)

Al dar click en la liga, te lleva a un sitio suplantado con la misma carátula para ingresar a tu cuenta de AMAZON (si es que tienes alguna); si ingresamos los datos que nos pide, el atacante tendrá nuestro usuario y password de AMAZON y con ello podría adquirir cosas a nuestro nombre y nos podríamos dar cuenta muy tarde.

Las probabilidades de que nuestro usuario y contraseña que usamos para este tipo de servicios sea el mismo que usamos para otros como Netflix, PayPal, Mercado Libre, y AliExpress, entre otros, es muy alta, por lo que esos servicios también pueden ser vulnerados fácilmente.

¿Cómo me doy cuenta?, bueno, primero, si recibiste una liga extraña “no le des click”, no importa quién te la mandó, ya que los atacantes pueden usar software malicioso en los servidores de correo electrónico haciendo parecer que alguno de tus contactos te ha mandado el link de una manera no maliciosa.

Si ya ingresaste al link, entonces verifica al menos que la URL tenga elementos que den indicios que es el sitio oficial y no una falsificación. Si no estás seguro, preferentemente no hagas nada hasta que revises por otro medio (otra computadora, tableta o teléfono móvil seguro) que tu cuenta del servicio no ha sido vulnerada.

Imagen relacionada

Algunos consejos básicos para no “caer” en este tipo de técnicas cibercriminales:

  • Cambia tus contraseñas de acceso con frecuencia, sobre todo en los servicios financieros, y tiendas en línea. Por favor, en la medida posible, ten una contraseña diferente para cada institución financiera o tienda en línea.
  • Evita realizar sesiones de compras o transferencias electrónicas en computadoras de uso público o compartido. Esto incluye usar redes abiertas, nunca conectes tus dispositivos en una red abierta o gratuita como la de los centros comerciales, plazas, cafeterías, aeropuertos, etc. Para realizar sesiones donde hagamos movimientos financieros o compras en línea.
  • Recuerda que ninguna Institución Financiera, y súmale las tiendas en línea y ya muchos de los servicios multimedia que tenemos en casa, solicita información personal o confidencial por correo electrónico o teléfono. Por ningún motivo ingreses tus contraseñas, sobre todo bancarias, en sitios al que llegaste por un enlace en correo electrónico o mensaje instantáneo. Lo recomendable es ingresar directamente a la dirección oficial de la Institución Financiera.
  • No ingreses o hagas “click” sobre links sospechosos. No descargues completo o respondas ningún mensaje sospechoso enviado por email, SMS o WhatsApp, de remitentes desconocidos o aquellos que te dicen haber ganado un premio, viaje o sorteo, ya que generalmente requieren tus datos personales para otorgarte la recompensa.

Aparentemente, con toda la preocupación por no ser víctimas de este tipo de crímenes cibernéticos, es sencillo implementar e interiorizar estas simples costumbres de medidas de seguridad informática contra el #PHISHING, pero no es así, la realidad es que en México hace mucha falta la concientización de temas de ciberseguridad, y que la responsabilidad en este tema es de todos, tanto los que pertenecemos a esta área, como los que no. Una de las mejores maneras de enfrentar estos crímenes cibernéticos es estando continuamente informados de las técnicas y herramientas que los cibercriminales están implementando para volcar un poco nuestras vidas digitales con repercusiones en nuestras vidas en el mundo de los átomos.