El concepto ingenierÃa social se refiere a una serie de técnicas que se utilizan en Seguridad informática, bien sea por profesionales del sector o bien sea por ciberdelincuentes, con la finalidad de obtener, a través del engaño a usuarios legÃtimos, información privada sobre su entorno, y asà poder realizar ataques más sofisticados sobre el mismo, como un acceso a los sistemas, fraude o robo de información, entre otros.
Desde CSIRT-CV hemos querido explicar de manera más detallada en qué consisten algunas de las técnicas de ingenierÃa social que más se utilizan por los ciberdelincuentes para que el ciudadano sepa identificar este tipo de engaño y no caiga en la trampa. Para ello hemos desarrollado durante las últimas semanas una campaña de concienciación que, como las anteriores, se ha llevado a cabo en las redes sociales en las que CSIRT-CV está presente, Facebook y Twitter a través de consejos diarios.
Esta campaña la hemos titulado «IngenierÃa Social, el arte del engaño» y a continuación os dejamos un resumen de la misma:
Una de las técnicas de ingenierÃa social que más se usa es la de un supuesto empleado de un banco que, bien sea telefónicamente o a través de un correo fraudulento, os pide datos sobre vuestra cuenta bancaria (sobre tarjetas de crédito, contraseñas, etc).
A través del correo electrónico o redes sociales también nos suelen llegar muchos ataques de ingenierÃa social, por ejemplo, aquellos mensajes que nos llegan en los que suele haber un fichero adjunto o te indican que pinches en un enlace para «ver unas fotos Ãntimas de algún famoso», o «fotos supuestamente tuyas». Lo que pretenden es que te infectes con algún tipo de malware para robarte información. Hay que tener mucho cuidado sobre dónde se pincha y qué adjuntos abrir (sobre todo si no sabemos la procedencia del correo, etc.), os pide que rellenéis un formulario, contestéis al correo u os redirige a una página idéntica a la del banco, pero falsa para que metáis vuestros datos. Hay que recordar que el banco nunca se pondrá en contacto contigo para pedirte este tipo de datos vÃa correo o teléfono. Ante la duda no deis ningún dato nunca, y preguntad en el banco.
Al hilo del consejo anterior y con el objetivo de realizar una navegación por internet lo más segura posible, en esta sección de nuestro portal se muestran una serie de herramientas que ayudan a proteger y avisar al usuario ante posibles riesgos.
A través de la simple «observación» muchos estafadores están recopilando información sobre nosotros (nombre, número DNI, domicilio…) que luego pueden intentar utilizarla para engañarnos.
Cuando alguien intente, a través de cualquier medio, obtener información sensible vuestra (número de tarjeta de crédito, pin, contraseñas,…etc) desconfiad aunque parezca que os conoce!
Aquà os dejamos una interesante lectura sobre ingenierÃa social y lo fácil que puede ser conseguir datos.
Otra técnica de ingenierÃa social que utilizan mucho los estafadores que tienen acceso fÃsico a nuestro entorno es el ‘basureo’, es decir, rebuscar entre nuestra papelera cualquier tipo de documento que pueda incluir datos privados nuestros que luego puedan utilizar en nuestra contra.
Debemos custodiar de manera adecuada cualquier documento que incluya información sensible nuestra y destruirlo antes de tirarlo a la papelera para que nadie pueda obtener nuestros datos (recibos del banco, nóminas, facturas, etc).
Es muy importante en el trabajo tener una polÃtica de escritorios limpia y no dejar «a la vista» ningún documento que incluya información sensible que pueda ser utilizada en nuestra contra, asà como no olvidar nunca recoger de la impresora documentos que hayamos impreso y contengan información confidencial. Una persona malintencionada podrÃa robarnos esa información y usarla para fines maliciosos.
Hoy en dÃa sin darnos cuenta hacemos pública demasiada información nuestra, sobre todo en redes sociales, cuando activamos la geolocalización por ejemplo, en nuestros comentarios o nuestras fotos, si no tenemos bien configurada la cuenta cualquiera (no solo tus amigos) verÃa en cada momento donde nos encontramos y podrÃan estar espiando nuestros movimientos.
Al hilo del mensaje anterior aquà tenéis una interesante lectura sobre el peligro que supone compartir, sin pensar demasiado, fotos en las redes sociales y también os dejamos nuestra campaña de concienciación sobre la importancia de los metadatos.
Otra técnica de ingenierÃa social que es muy utilizada en los correos fraudulentos es presionarnos «metiéndonos mucha prisa» acerca de facilitar una información, por ejemplo, o cambiar una contraseña, normalmente alguien que se hace pasar por un administrador de sistemas de algún proveedor de correo. Correos del tipo «tienes que cambiar ya tu contraseña (pinchando en un enlace que nos lleva a un sitio falso) si no perderás tu cuenta de correo», o «el banco solicita que des tu número de tarjeta y pin si no será cancelada hoy mismo tu cuenta» hacen que nos pongamos nerviosos y reaccionemos sin pensar. Aquà os dejamos un artÃculo con algunas de las técnicas de ingenierÃa social más usadas.
Timos muy utilizados dentro de la ingenierÃa social son los del tipo «Adivina quién me ha quitado del MSN?», o «Adivina quién ha visitado tu perfil en Facebook». Pensemos con la cabeza frÃa y démonos cuenta de que ya de entrada, esto suena cuanto menos extraño… Este tipo de timos suelen llevarnos a algún enlace malicioso que nos suele robar las credenciales o infectarnos el equipo.
Haz un uso adecuado de los datos que proporcionas en Internet: fotos que subes, tratamiento de los metadatos de los archivos/fotos que intercambias, datos financieros, direcciones, etc. Cualquiera podrÃa estar espiándonos y usar toda esa información para estafarnos o atentar contra nuestra intimidad. Recordemos nuestra campaña de concienciación sobre un uso seguro de los datos en la red.
Otro tipo de técnica de ingenierÃa social muy utilizada a través del correo electrónico consiste en el envÃo de correos que te ofrecen trabajo en el que obtendrás muchos beneficios, desde casa y trabajando solo unas horas!!, llamativo ¿no? normalmente detrás de eso suele haber una mafia de ciberdelincuentes que bien nos estafan o bien nos incitan a cometer un delito normalmente de blanqueo de dinero. Aquà os dejamos una nota de cómo detectar correos maliciosos.
¿Sabéis lo que es el Shoulder Surfing? Pues nada más ni menos que una técnica de ingenierÃa social que consiste en mirar por encima del hombro para verte escribir el pin en un cajero o pagando en un comercio, o mientras escribes contraseñas en tu móvil o teclado. Asà que, tened cuidado de no tener a desconocidos husmeando a vuestro alrededor cuando utilicéis contraseñas, y al teclear el pin en el cajero del banco tapad lo que podáis con la otra mano para evitar que os lo vean y luego os la roben.
Si no quieres que tu identidad sea suplantada o que alguien pueda tener acceso a sitios a los que has accedido desde un ordenador que no sea el tuyo, es muy importante que cuando acabes salgas de la aplicación cerrándola correctamente, y que te asegures de que no has aceptado que el navegador guarde tus contraseñas.
A través de algunas de las ya comentadas técnicas de ingenierÃa social es posible que averigüen nuestra fecha de cumpleaños, nombre de nuestra mascota, ciudad donde nacimos o nuestro equipo deportivo favorito, asà que por favor, ¡¡¡no uséis estos datos como contraseñas!!!.
Se recomienda utilizar contraseñas robustas compuestas por caracteres alfanuméricos y sÃmbolos de puntuación, que sea larga y no contenga palabras que puedan encontrarse en un diccionario. Y por supuesto, cambiarla de vez en cuando y nada de dejarla apuntada en un sitio donde os la puedan ver. Cuidado también con la «pregunta secreta» si la usamos para recuperar nuestra contraseña. Elegid una pregunta cuya respuesta SOLO sepáis vosotros y nadie pueda averiguarla.