LinkedIn Google+

¿Qué es un ataque de ingeniería social?

Es un método mediante el cual el atacante busca, a través de la interacción humana y haciendo uso de habilidades sociales, obtener información personal o de una organización para acceder a sus sistemas informáticos.

Este tipo de ataques requiere que el atacante se haga pasar por alguien de confianza, de bajo perfil, que diga ser alguien con necesidad de acceso a información y proceda luego a recabarla mediante preguntas aisladas, amabilidad y sano interés.

El atacante repetirá este ataque a múltiples víctimas, utilizando la información anteriormente conseguida para ir aumentando su credibilidad ante estos nuevos ataques,  hasta que logre recoger suficientes piezas de información como para obtener acceso al objetivo final de su ataque.

Aquí se ve un ejemplo de ataque de ingeniería social.

¿Qué es un ataque phishing?

El ataque de phishing es una modalidad de ataque de ingeniería social. Estos ataques utilizan el correo electrónico y en ocasiones se combina con sitios web maliciosos impostando un organismo de confianza para solicitar información personal y credenciales de acceso.

Este tipo de ataques simulan ser entidades bien conocidas y alcanzan a un número muy grande de atacados, esto aumenta la probabilidad de éxito en el ataque. Esta masividad hace también que el atacado reciba un correo electrónico de una entidad con la que no tiene ninguna relación, solicitándole sus credenciales.

A continuación se muestra un ejemplo de un correo electrónico de ataque por phishing:

Correo Electrónico Ataque Phishing
Contenido de un correo electrónico de ataque por phishing

Es responsabilidad de quien recibe este mensaje, estar concienciado en que NINGUNA entidad solicitará por medio de correo electrónico datos sensibles, personales o credenciales de acceso. Y en caso de recibir este tipo de correos, es importante acceder (no por el vínculo que propone el propio correo fraudulento), al sitio web de la organización impostada y denunciar el intento de phishing.

A continuación se muestra el acceso a la web oficial de PayPal:

Sitio Oficial Paypal
Sitio oficial Paypal (URL correcta) para denunciar amenazas de phishing.

Ejemplo de notificación de phishing por parte de la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (Condusef).

¿Cómo evitar ser víctima de un intento de ataque?

Es necesario estar concienciado sobre las amenazas existentes y de esta manera poder detectar patrones de conducta que levanten nuestras sospechas.

Las llamadas telefónicas, visitas o correos electrónicos no solicitados, mediante los cuales un individuo solicite información personal o interna de la organización suelen ser ataques de este tipo. Si el individuo dice pertenecer a alguna entidad de confianza, es necesario contrastar esta información con la propia entidad.

Nunca divulgue información personal o de su organización sin antes asegurarse de que su interlocutor cuenta con el debido nivel de acceso para obtener dicha información. Incluso ante la seguridad de estar ante un interlocutor válido, sea prudente con el nivel de divulgación que realice.

Nunca responda con información personal o financiera a correos electrónicos que se la soliciten. Y nunca siga los vínculos que se incluyan en este tipo de correos electrónicos.

Preste atención a la dirección en la URL de la página que esté utilizando para enviar información sensible. Las páginas maliciosas o fraudulentas pueden tener una URL similar al ojo no precavido, por ejemplo ser de un dominio .net cuando el real sea .com.

Tenga entre sus favoritos las URL de las páginas de sitios con los que opere habitualmente con información sensible. Existen también amenazas que explotan errores en las direcciones URL ingresadas a mano en el navegador.

Ante la duda sobre la legitimidad del correo electrónico, recurrir a la fuente oficial (no utilizar la información de contacto provista en el propio correo electrónico sospechado).

¿Qué hacer si hemos sido víctimas de un ataque de phishing?

Si hemos sido, o creemos haber sido, víctimas de un ataque exitoso de phishing, en el que hemos divulgado información sensible de nuestra organización, debemos comunicarlo inmediatamente al responsable de seguridad mediante la notificación de una incidencia. De no hacerlo incurriremos en una doble mala práctica, ya que estaríamos además impidiendo que se adopten medidas de mitigación que protejan a la organización ante un ataque potencial que utilice la información divulgada.

Si la información facilitada es personal o financiera, se debe contactar con nuestra entidad bancaria relacionada con la divulgación y proceder a efectuar el cambio de todas nuestras credenciales de acceso, números de seguridad, claves de tarjetas, etc. En casos extremos debería cerrarse la cuenta cuya información ha sido comprometida.

En caso de seguir una mala práctica de credenciales en el que se utilice una misma dirección de correo como identificador de usuario y una misma clave para cualquier sitio en el que se identifique con ese correo electrónico, el cambio de credenciales debe realizarse en todos ellos, aunque la divulgación se haya realizado en relación a solo uno.

¿Qué es el robo de identidad?

Cuando las técnicas de ataques de ingeniería social resultan exitosas y el atacante tiene acceso a suficiente información sensible del atacado (nombre, fecha de nacimiento, número de DNI, dirección postal, número de cuenta bancaria, etc.) estará en disposición de efectuar el robo de identidad del afectado.

Este robo consiste en que el criminal se haga pasar ante entidades por la persona a la que se ha robado la identidad, pudiendo aportar información suficiente y consistente para superar todos los requisitos de dichas entidades.

El robo de identidad permite que el criminal entonces pueda realizar compras, extraer dinero de cuentas, solicitar préstamos, todo ello a nombre del damnificado.

En muchos casos los damnificados no reciben el ataque directamente, sino que lo hace una compañía con la que el damnificado opera y a la cual se ataca y se roban bases de datos de clientes que contienen toda la información necesaria para el robo de sus identidades.

En este artículo se muestra una noticia sobre un ataque a una compañía estadounidense en el que se robaron datos de millones de clientes.

Dado el alto perfil de ataque que exponemos al ceder información personal en la relación con los sitios web de las entidades con las que operamos, no se puede garantizar que no vayamos a ser víctimas del robo de identidad. Sin embargo contamos con maneras para reducir el riesgo sobre nuestra información personal.

Antes de ceder cualquier información personal o sensible debemos estar seguros que la entidad a la que realizaremos la cesión sea una entidad estable, con cierta antigüedad y respetable.

Debemos estar seguros de que el sitio web con el que operamos sea legítimo y no una falsificación de la entidad en la que confiamos. Esto puede verse por ejemplo en las características de la dirección URL del sitio, los datos del certificado SSL, etc.

Aproveche las medidas de seguridad adicionales que proporcione la entidad, por ejemplo factor de autenticación doble, número de seguridad para las operaciones, etc. En ciertos casos estos mecanismos de seguridad son opcionales y pueden no estar habilitados hasta que se haga expresamente.

Lea las políticas de privacidad de los sitios a los que se vaya a ceder información personal o sensible. Restrinja o limite la capacidad de la entidad a compartir con terceras partes la información que se le está cediendo, siempre que sea posible. En caso de que no exista esta posibilidad, reconsidere la cesión de su información.

Utilice aplicaciones antivirus, antimalware, antispam. Active el firewall de su sistema operativo. Esto limita el nivel de exposición a las amenazas provenientes de la red pública.

¿Cómo saber si hemos sido víctimas del robo de identidad?

Si la divulgación de la información que permite el robo de nuestra identidad se ha producido por medio de un ataque a una entidad a la que hemos cedido esa información, dependemos de que esta entidad comunique la incidencia para que los afectados puedan tomar las medidas oportunas.

Sin embargo esta notificación no siempre se hace a tiempo, o bien no siempre se hace.

Debemos asumir que la información que hemos cedido hasta hoy a cualquiera de las entidades con las que hemos operado alguna vez, en caso de divulgarse, permitiría que seamos víctimas potenciales del robo de identidad.

Por ello debemos estar alerta a situaciones que pudiesen evidenciar este hecho. Situaciones como cargos inusuales o inexplicables en tarjetas de crédito, llamadas telefónicas o correos electrónicos sobre productos o servicios no contratados, facturas o cargos habituales que ya no lleguen a nosotros, rechazo inesperado de operaciones con la tarjeta de crédito, etc.

¿Qué hacer si hemos sido víctimas de un robo de identidad?

Los afectados por este tipo de delito, no solo afrontan las consecuencias económicas, sino que también sufren consecuencias emocionales, que los afectan incluso más que el factor económico.

Si creemos haber sido víctimas del robo de nuestra identidad, debemos notificarlo a las autoridades.

En cualquier caso, recuperarse de este tipo de situaciones adversas resulta un proceso largo, costoso y estresante. Incluya en las notificaciones a todas las entidades afectadas (crédito, financieras, comercios, etc.), acompañando esas notificaciones oficiales con la correspondiente denuncia ante las autoridades (policía, seguridad social, hacienda, etc.).

Fuentes

  1. US-CERT: https://www.us-cert.gov
  2. OSI: http://www.osi.es
  3. INCIBE: https://www.incibe.es
Artículo anterior

LINUX AND WINDOWS INTEGRATION

Artículo siguiente

SAP NETWEAVER MDM PERFORMANCE ANALYSIS ON RHEL 6.3

Sin Comentarios

Responder

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *