Atraco a golpe de ‘clic’

LA @

Atraco a golpe de 'clic'

Hasta usted, sin saberlo, puede ser el que le abra sus cuentas al ladrón. Hay tal número de amenazas que el Instituto Nacional de Ciberseguridad (INCIBE) ha publicado una guía para aclararnos todas ellas.

GABRIEL CRUZ

HASTA QUIEN ESTO ESCRIBE cayó en la trampa. En mi caso, fue por lo que se denomina ingeniería social y, dentro de esta, por phishing; es decir, por un correo electrónico. No lo vi llegar, me pilló con la defensa baja. Haciendo multitarea frente al ordenador, hablando por teléfono, revisando emails… En medio de varios clics di con un mensaje de la empresa donde tenía contratada una página web. Me anunciaba que al estar falto de pago me cerrarían la web. “¿Cómo? ¡Eso es imposible!”–pensé-. La reacción fue inmediata, cliqué en el enlace del email y metí mis claves. Sí: ese código que da acceso a mi perfil y en el que viene el método de pago. Había cometido un error de principiante: clicar en un enlace enviado por email. La estética del mensaje era idéntica a la de la empresa con la que tenía contratado mi servicio. Sin embargo, si quería confirmar la información, debía haber entrado en la web de la empresa directamente y no a través del enlace que recibí en el email. Ahí está la razón de porque el 95% de las incidencias en ciberseguridad se deben a errores humanos, según un estudio de IBM. ¿Qué hice? Al darme cuenta del error entré en la web y cambié las claves. Afortunadamente no llegaron a hacer compras con mi tarjeta, que yo sepa. Son tantas las posibilidades de ataque que el Incibe (Instituto Nacional de Ciberseguridad) ha publicado una guía gratuita para que nos enteremos de todas ellas.

Con nombre inglés. En mi caso sufrí un phishing en toda regla. Las denominaciones de los ataques son inglesas, lo que facilita su identificación internacional y acortamiento del nombre. Así, nos podemos encontrar con el ataque denominado shoulder surfing que en nuestro castellano es por “encima del hombro”; vamos, el de toda la vida. Es decir, el que se hace cuando el delincuente nos mira por encima para espiar las claves que escribimos en el ordenador o en el datáfono. Asi que no se extrañe si en un manual de Incibe lee cosas como, por ejemplo: “los fraudes online más comunes son el email spoofing que “difunde malware, como el ransomware, o intentan que tus dispositivos formen parte de una botnet”. Aparte del phishing, está el vishing, smishing, baiting, dumpster diving…Después de esto: ¿no cree que necesita un guía? Si desmenuzamos la guía del Incibe, tenemos ataques a las contraseñas, por ingeniería social, a las conexiones y por malware.

Los ataques por contraseñas son programas que intentan averiguar cuáles son las combinaciones de nuestras claves. Si somos de los que ponemos claves como el cumpleaños se lo ponemos fácil. El antídoto: contraseñas robustas. Aquí puede hacer patria e incluir caracteres como la ñ. Parece que los programas que usan los hackers para romper contraseñas no la consideran mucho.

Respecto a los ataques por ingeniería social, son los que intentan que mediante engaño sean los propios usuarios los que revelen la clave . Así tenemos el phishing (lo que les conté al principio), que se convierte en vishing si el engaño es mediante llamada de teléfono o en smishing si es por SMS (como los que le dicen que va a recibir un paquete). El mejor antídoto es no abrir correo sospecho y jamás pinchar los enlaces que nos envíen. Se lo digo por experiencia propia.

 

Sobre los ataques a conexiones, básicamente buscan hacerse pasar por redes wifi para, al conectarnos a través de ella, hacerse con el control de nuestra información.

Los ataques por malware se refieren al software malicioso introducido por descargar un archivo desde una web o por conectar un pendrive. Esto provoca que nuestro ordenador deje de funcionar o se convierta en una computadora zombi que junto con otras (botnets) trabaje, sin nosotros saberlo, a la orden de un ciberdelincuente para un ataque mucho más ambicioso a instituciones. Además de estas, hay muchas más posibilidades de ataques que se explican en la guía, así como la mejor vía para prevenirlos.

El riesgo es muy variado.  Como señala Rosa Díaz, directora del Incibe, “hay organismos especializados en ciberatacar”. Es decir, que robar es su trabajo. Que no le pillen despistado. Se lo dice uno que no leyó a tiempo esta guía.

Guía de los ciberataques

Todo lo que necesita saber como usuario de internet

 

Un teléfono clave

Fácil de recordar y gratuito. Para consultas sobre seguridad informática. De 9.00 a 21.00 horas, de lunes a domingo.