Así como crece internet y las posibilidades que ofrece, los ciberataques proliferan. Les contamos sobre algunos de los términos y procederes que emplean hoy los ciberdelincuentes para timar a los incautos
A ella le habría gustado no haber pinchado en ese enlace, pero cuando se arrepintió era muy tarde. De repente dejó de tener acceso a todas sus cuentas en redes sociales. Tuvo que optar, luego de infructuosos intentos de recuperación, por abrir nuevos perfiles. Sin embargo, todavía siente ansiedad. Alguien desconocido se robó sus credenciales y, con ello, sus perfiles, en los que tenía muchas conversaciones privadas. Nada «comprometedor», me dijo, pero privadas al fin. Este caso, por desgracia, se repite con mucha frecuencia.
El crecimiento de internet y los servicios a los que tenemos acceso ofrece un espectacular abanico de oportunidades para consumir o crear contenidos. Sin embargo, se debe tener siempre mucho cuidado, pues con las mejorías también proliferan los ciberataques, cada vez más sofisticados.
La mayoría de los ataques hoy que no son hackeos directos, se basan en técnicas de ingeniería social. La idea es embaucar a los internautas más inocentes para tener acceso a sus datos. Veamos entonces los diversos tipos de agresiones a los que puedes estar sometido, y cómo evitarlos.
Es quizá la técnica de ciberdelincuencia más «famosa», y una de las que más variantes tiene. El atacante emplea un cebo —de ahí el juego de esta palabra con el término inglés fishing, de pescar— para que algún usuario caiga en la trampa: te has ganado la lotería, mira aquí gratis ese video que tanto te gusta, con este PDF gratuito resuelves tu problema, etcétera. Cualquier enlace o archivo contiene código malicioso que se ejecuta en el terminal y permite acceso remoto a datos y otras prestaciones. La víctima puede no darse cuenta nunca.
Tiene otras variantes, como el smishing, término que significa phishing a través de mensajes de texto o SMS. Por lo general, el contenido del mensaje invita a pulsar en un link que lleva a una web maliciosa, en el que intentarán engañar a la víctima para que introduzca información sensible o descargue alguna aplicación que en realidad es un software maligno.
Los usuarios ya tienen cierto nivel de concienciación con las estafas a través de email, pero no tanto con los SMS, es por eso que hay una falsa percepción de seguridad con la mensajería móvil que hace a este ataque más efectivo.
El vishing es otro ataque de phishing realizado por teléfono o a través de un sistema de comunicación por voz. Por ejemplo, el delincuente contacta a la víctima con una llamada y se hace pasar por un servicio técnico determinado. Le pide ciertos requisitos para resolver la incidencia, lo que a veces lleva hasta el control remoto de su terminal. En dependencia del tipo de estafa, intentará que el incauto revele información sensible, instale alguna aplicación maliciosa, realice un pago, entre otras acciones.
El spear phishing es un ataque similar al vishing, pero lleva más tiempo y más contacto con la víctima. Una variante se conoce como whaling (por ballena, whale en inglés), en la que se persigue a un «peso pesado» en alguna organización corporativa o empresarial.
El spam es tan viejo como el correo electrónico. Sabemos que es cualquier correo recibido que no ha sido solicitado y no es deseado. Por lo general, su envío se produce de forma masiva a un gran número de direcciones. No siempre es malicioso, pero contiene enlaces de dudosa procedencia.
Como variante se ha acuñado el término spim, que no es más que spam realizado sobre plataformas de mensajería instantánea como WhatsApp, Telegram, Messenger… Suele ser más complicado de detectar que el spam «tradicional».
Coloquialmente se llama «buzos» a los que buscan en los depósitos de basura. Para el caso de internet, el dumpster diving es la acción de «bucear» en la basura digital de una empresa para obtener información de documentos que iban a ser reciclados. Una buena práctica es destruirlos para evitar que el reciclaje de esos documentos sea con un uso indeseado.
Este es un ataque más físico, pero no deja de estar entre los que son señalados dentro del espectro digital. El término shoulder surfing se puede traducir como «mirar por encima del hombro», porque eso es lo que hace el atacante. Aunque es obvio que no se debe trabajar con información sensible en lugares públicos, las personas lo hacen, especialmente en estos tiempos de wifi por doquier. Existen pantallas que solo permiten que la información se vea desde el punto de vista del usuario principal de un ordenador, pero lo recomendable es, insisto, no trasegar información confidencial a la vista pública.
La redirección maliciosa hacia una web falsa que simula ser igual a la legítima se conoce como pharming. Ilustración: Tomada de Nord VPN
El pharming es la redirección maliciosa hacia una web falsa que simula ser igual a la legítima. La intención es robar datos de los usuarios. Así sucedió en Cuba, por ejemplo, con plataformas de pagos electrónicos en sus inicios. Su nombre viene de la mezcla de phishing y farming (cultivar en inglés). Este ataque se basa en otras agresiones a los sistemas de nombres de dominio (DNS, por sus siglas en inglés), que son los que indican a los navegadores la web a mostrar. Enmascarando el DNS, llevan a la víctima a lo que cree ser la web original. Es muy efectivo en los móviles, porque los usuarios no se fijan mucho en las direcciones de las páginas que visitan. Es muy importante, entonces, cerciorarse de que, en efecto, la página del banco que visitamos es la que dice ser.
Este ataque tiene un término también en inglés: eliciting information. Se trata de obtener información de una víctima sin preguntarle directamente. Para conseguir esto, se basa en técnicas como entablar conversaciones y hacer preguntas reflexivas, utilizar afirmaciones falsas para que el objetivo las corrija, y de una forma aparentemente casual, el ciberdelincuente irá «tirando de la lengua» al objetivo y conseguirá información que le puede ayudar para futuros ataques.