Habitualmente se asocia el concepto de ciberseguridad con ataques a equipos informáticos, pero uno de los ataques más comunes que cometen los ciberdelincuentes es de ingeniería social, es decir, consiste en engañar a una persona haciéndose pasar por quién no se es para obtener información privada o dinero.
Se sabe que más del 99% de los ataques cibernéticos provienen de la ingeniería social, esto significa que el ser humano es el objetivo de los atacantes. Iñaki Lasa, profesor de ciberseguridad en el ‘Máster FP en Ciberseguridad’ en el Centro Universitario U-tad, nos explica los cinco ciberataques más utilizados por los ‘malos’, cómo identificarlos y qué debemos hacer si recibimos alguno de ellos, para que no nos arruinen nuestras vacaciones:
- Phishing: se trata de una de las técnicas más antiguas y fáciles de realizar por un delincuente. Este ataque consiste en engañar a un usuario haciéndose pasar por una persona, empresa o servicio que inspire confianza. Puede ser un banco, una compañía de servicio de streaming o un familiar. Se crea un mensaje falso que suene convincente y que requiera una acción inmediata. Este tipo de mensajes además añaden un link a una página web falsa creada por el atacante con el objetivo de ver todos los datos que se hayan introducido por los usuarios. Este tipo de ciberataque se suele enviar de forma masiva por correo electrónico para que alguien caiga en la trampa. Para no morder el anzuelo, se recomienda acceder al servicio por medio de Google sin utilizar ningún link que haya en el mensaje.
- Vishing: este es un ciberataque relativamente reciente que consiste en recibir una llamada telefónica en el que se hacen pasar por alguna empresa como las que comentábamos anteriormente para obtener información confidencial sobre un usuario. Lo peor de esta estafa es que la víctima se pone más nerviosa por tratarse de una llamada telefónica y tiende a dar más información de la que debería. Así que, si nos llaman desde un banco o cualquier otra compañía pidiéndonos datos personales, por muy urgente que sea el trámite que se deba hacer, lo mejor va a ser colgar y llamar personalmente al teléfono de atención al cliente para confirmar de qué se trata.
- Sim swapping (duplicado de tarjeta SIM): tras haber hecho un robo de identidad con alguno de los ataques mencionados anteriormente, el atacante se hace pasar por una víctima para solicitar un duplicado de su tarjeta SIM. Para conseguir dicha tarjeta, muchas veces es suficiente con llamar a la compañía de teléfono y dar el DNI junto con el nombre completo. Una vez que el atacante se hace con la tarjeta sim de la víctima, se puede hacer pasar por él/ella en numerosos servicios. Al fin y al cabo, es muy común que un servicio online en el que te tienes que identificar te pida la confirmación por medio de un SMS. Así que hay que tener cuidado con los mensajes de confirmación con un código de seguridad. En caso de que no haya sido solicitado por nosotros, este mensaje no va a ser un error y habrá que llamar a la compañía telefónica para anular el duplicado de la tarjeta.
- Engañar al usuario jugando con su avaricia: se trata de un ataque en el que se le cuenta a la víctima una historia para convencerle de algo que no es real, pero con lo que va a ganar dinero muy fácil. En los inicios, el delincuente solía enviar al usuario un mensaje diciendo que era una persona con mucho dinero pero que se iba a morir y que no tenía familia para que heredase su dinero. Después de eso le decía que necesitaba una cantidad pequeña de sus ahorros para realizar el trámite y hacer ric@ a la víctima. Este ataque ha ido evolucionando. Ahora se realiza a través de las redes sociales para llegar a los más jóvenes, que son los que quieren ganar dinero fácil. En este tipo de ciberataque, se suele comprar una cuenta que tenga muchos seguidores en una red social muy utilizada por el colectivo objetivo. Una vez que el atacante tiene el medio para llegar a una cantidad muy grande de personas, les convence de que ya hay un grupo de personas ganando dinero con algún método de inversión en el mercado de valores o de las criptomonedas y muestra pruebas de cómo, con tan solo 200€, puedes ser millonario siguiendo sus pasos.
- Robo de identidad aprovechándose de una filtración de datos: periódicamente los ciberdelincuentes suelen encontrar fallos en algunos sitios web que les permite obtener cuentas de usuario y contraseñas. Estos datos los suelen vender o publicar por Internet, de tal manera que, pasado un tiempo de esa filtración, otro atacante que no tenía nada que ver con el ataque original, prueba a iniciar sesión con el usuario y contraseña filtrados y se hace pasar por la víctima. Para protegerse de este tipo de ataques, es recomendable crear una contraseña diferente para cada sitio. Otra medida muy importante es comprobar si la dirección de correo electrónico ha sido filtrada en alguna fuga de datos producida anteriormente. Para ello, hay que dirigirse a la página web https://haveibeenpwned.com/ e introducir el correo electrónico. Indica si la dirección se ha filtrado alguna vez, y en caso de que sí, qué servicio ha sido vulnerado. A partir de ahí es recomendable cambiar la contraseña no solo en ese sitio, sino que en todos en los que uses la misma clave o un derivado de ella.