Los ciberdelincuentes están siempre al acecho y en una sociedad cada vez más conectada y digitalizada, recurren a todo tipo de herramientas e información pública para lanzar ataques precisos y personalizados.
El reporte Digital 2023, elaborado por la empresa We Are Social, indica que en México hay poco más de 100 millones de usuarios de internet, quienes permanecen conectados en promedio ocho horas al día por razones de trabajo, escolares o de entretenimiento, lo que los vuelve un blanco atractivo para los atacantes.
De acuerdo con Juan Marino, gerente de Ciberseguridad de Cisco Latinoamérica, los actores maliciosos recurren a estrategias de ingeniería social para engañar al usuario y lograr que revele información confidencial o sea víctima de un fraude.
En ocasiones, agrega, obtienen datos de redes sociales, organigramas o sitios oficiales para conocer mejor a los usuarios y/o compañías objetivo, y así entender con qué otras personas u organizaciones interactúan, o simplemente para saber cuáles son sus intereses personales y profesionales con la intención de lanzar ataques más dirigidos.
“La ingeniería social siempre está en el centro de todas las amenazas, o por lo menos en el inicio de una cadena de ataque. En la actualidad, ocho de cada 10 incidentes de ciberseguridad inician a través de mensajes muy personalizados, principalmente a través de correos electrónicos, en los que además utilizan herramientas de inteligencia artificial para perfeccionar los textos y hacerlos más creíbles, incluso en otros idiomas”, explica Marino.
Aunque el envío de mensajes masivos con mensajes gancho relacionados a temas que son tendencia o de interés general siguen vigentes, las técnicas de hiperpersonalización (aplicadas usualmente al marketing digital) se han extendido al cibercrimen.
“En cualquiera de los casos, los atacantes buscan aprovechar un momento de descuido o de ingenuidad, siempre con un sentido de urgencia, para lograr que la otra persona responda o haga clic a un enlace, dando acceso a información personal como nombres de usuarios y contraseñas, solicitar pagos o para instalar malwares con diferentes propósitos, incluidos los ataques de ransomware”, dice el experto en protección de datos.
- Te recomendamos Ciberataques a nivel mundial aumentan un 38 por ciento, señala Microsoft Negocios
¿Cuáles son las técnicas de ataque más frecuentes?
Phishing. Es la forma más común de ingeniería social que se utiliza para obtener información personal o confidencial. Es el término general que se le da al envío de mensajes provenientes aparentemente de una fuente confiable, como podría ser un banco, una escuela o la compañía telefónica; aunque en algunos casos también se recurre a la figura de personas conocidas por el usuario. Aunque el phishing a través de correo electrónico (email phishing) es el más frecuente, hay otros medios de ataque.
Vishing. Es una variante del phishing que se realiza a través de llamadas telefónicas. Se trata de una práctica común de estafa en la que el atacante se hace pasar por representante de algún tipo de servicio para alertar sobre movimientos inusuales y manipular al usuario para obtener información privada y acceso a sus cuentas.
Smishing. En este caso el contacto se lleva a cabo por mensaje de texto. Al igual que en los dos anteriores, los delincuentes apelan a una falsa sensación de urgencia, por ejemplo, recibir un beneficio u obsequio disponible por tiempo limitado, una tentadora oferta laboral o –con el crecimiento del comercio electrónico– para informar un problema en el envío de alguna compra. En ninguno de los casos se ofrecen muchos detalles, simplemente se lanza el anzuelo, esperando que la persona responda para iniciar la estafa.
Angler phishing. Es una forma de phishing que tiene la particularidad de dirigirse a usuarios de redes sociales a través de perfiles falsos. En ocasiones, los malos actores se aprovechan de los usuarios que manifiestan inconformidades de determinados productos o servicios para contactarlos haciéndose pasar por agentes de servicio al cliente.
Spoofing. Se refiere a la suplantación de identidad y puede presentarse por correo electrónico, plataformas de mensajería de texto, números de teléfono e incluso por la URL o direcciones IP. En esta modalidad el atacante se hace pasar por una empresa, un compañero de trabajo o un contacto personal, a fin de robar información, propagar malware o, en casos más recientes, para pedir dinero.
Malvertising. es el uso de publicidad en línea para propagar malware. Consiste en colocar anuncios atractivos o supuestos contenidos patrocinados con temática divertida, de alerta o para recibir algo a cambio, en los que se filtran enlaces maliciosos. La publicidad puede presentarse en ventanas emergentes o banners fijos en sitios web legítimos y con buena reputación entre los usuarios, para generar confianza y motivar al clic.
Evil twin o Gemelo malvado. Es un ataque en el que los ciberdelincuentes habilitan una red WiFi en lugares donde las personas acostumbran acceder a redes de acceso libre como pueden ser centros comerciales, restaurantes, plazas públicas o escuelas, dejando expuestos detalles de su navegación e información personal.
¿Cómo me cuido de un ciberataque?
Si bien existen diversas soluciones de seguridad que ayudan a prevenir, bloquear y remediar las amenazas que hay en la red –como antivirus, sistemas de prevención de intrusos (IPS), programas firewall para evitar el acceso hacia o desde redes no autorizadas–, el Gerente de Ciberseguridad de Cisco Latinoamérica señala que el eslabón más débil a nivel personal y en las empresas es el propio usuario, por lo que comparte algunos consejos para estar alerta.
- Si una oferta o mensaje es demasiado bueno para ser verdad, lo más probable es que sea un engaño.
- Sospecha de cualquier mensaje que te pida llevar a cabo una acción o proporcionar información en calidad de “urgente”.
- No hagas clic en enlaces de correo electrónico, mensajes de texto o publicidad de fuentes desconocidas.
- Cuidado con las ventanas emergentes.
- Nunca proporciones información personal por correo electrónico, mensaje de texto o llamadas telefónicas.
- Utiliza herramientas de detección de URL maliciosas y filtrado de contenido.
- Si tienes dudas sobre mensajes o llamadas, intenta verificar la veracidad e identidad a través de una llamada a la persona y/o organización.
- Evita descargar archivos de sitios poco confiables o remitentes sospechosos.
- Mantén tu navegador actualizado.