Los cuatro ataques más frecuentes (y exitosos) que se deben conocer y evitar
Este tipo de fraudes continúa alcanzando altas tasas de éxito gracias a la pericia y a la credibilidad de la que se están valiendo los ciberdelincuentes para ejecutarlos.
A continuación se explican los elementos de los ataques más frecuentes en la Red con objeto de aprender a detectarlos y de mantener la información personal protegida:
1. 'Phishing'
Suplantación de identidad de una persona o de una compañía mediante correo electrónico para obtener los datos personales y bancarios de los usuarios.
¿Qué se debe observar para saber que se trata de un 'phishing'?
- La dirección de correo electrónico del remitente no se corresponde con la de la entidad que dice ser y/o contiene letras y caracteres extraños.
- El saludo que se realiza no suele ser personalizado, sino genérico.
Además, en el texto se puede observar, muy a menudo, faltas de ortografía y errores tipográficos.
- El cuerpo del email incluirá un enlace (o un archivo adjunto malicioso). Este es el anzuelo con el que intentarán redirigir a los internautas a una página web ilegítima.
Los atacantes emplean diversas tácticas para conseguirlo, entre las que destacan la urgencia, el miedo y la supuesta devolución de dinero.
A simple vista, algunos enlaces pueden parecer legítimos, pero si se coloca el puntero del ratón sobre ellos (sin clicar), se puede observar que no lo son.
Si los usuarios pinchasen en ese enlace, los atacantes les redirigirían a una página fraudulenta con alguna/s de estas características:
- El enlace comienza por http, en lugar de por https (recuerda, la “s” es de “seguridad”).
- Se puede leer “No es seguro” en la barra de navegación.
- La dirección web contiene letras, palabras y caracteres extraños.
Aquí se exponen dos ejemplos reales:
2. 'Smishing'
Este ataque es una variante del 'phishing', pero es lanzado a través de los sistemas de mensajería instantánea y de los mensajes de texto (SMS).
Como se puede comprobar de nuevo, intentarán infundir miedo o hacer creer que se va a obtener un regalo o un cheque descuento para, de esta forma, conseguir que las víctimas hagan clic en el enlace fraudulento.
También pretenderán que llamen al teléfono que les indican, que introduzcan su número de teléfono o que respondan al mensaje. Si realizaran alguna de estas acciones, serían suscritas automáticamente a un servicio SMS Premium por el que les cobrarían una pequeña cantidad de dinero (hasta 6 euros) cada vez que los atacantes les enviaran un mensaje de texto.
Resulta indispensable ser precavido: si se recibe un mensaje que parece ser legítimo, se recomienda acceder directamente a la página web oficial de la marca para comprobar si la oferta o promoción es auténtica -en caso de que ese sea el motivo del mensaje-, pero nunca se debe hacer clic en el enlace.
3. 'Vishing'
Este fraude también se sustenta en la suplantación de identidad pero, en este caso, los atacantes intentan efectuar el engaño a través de llamadas telefónicas.
Con el máximo propósito de obtener la información personal y bancaria de las víctimas, recurrirán a roles y empresas de todo tipo: su compañía telefónica, su banco, su aseguradora sanitaria, su propia compañía...
¿Qué argumentos les darán? Que alguien está intentando acceder a su cuenta bancaria, que tienen una factura pendiente de pago, que les van a hacer una gran oferta en su tarifa de internet, etc.
¿Cómo pueden evitar ser víctima de este ataque? No proporcionando nunca ningún tipo de información sensible por teléfono. Se recomienda realizar la llamada al banco o a la compañía telefónica para cerciorarse de que son ellos realmente quienes están solicitando o proporcionando esa información.
4. 'Baiting'
En este ataque los protagonistas son los dispositivos de almacenamiento extraíbles.
¿Cuál es el procedimiento? Los atacantes introducen archivos infectados con 'malware' en 'pen drives' y los depositan cerca de las instalaciones de una compañía (o dentro, si lo consiguen), de forma que sean fáciles de encontrar, para que los más curiosos los conecten a sus equipos. Una vez lo hagan, los ciberdelincuentes obtendrán acceso a toda la información que los usuarios tengan en sus ordenadores.
Si alguna vez se localiza un dispositivo extraíble, se aconseja entregarlo al personal de seguridad de la entidad para que ellos lo analicen.