Los cibercriminales utilizan una amplia variedad de tácticas de estafa para obtener acceso a un dispositivo o red, extorsionar por dinero o robar información valiosa. Cuando se trata de comprender las amenazas de hoy y cómo protegerse y asegurar su organización contra ellas, conocer las diversas tácticas en las cuales se utiliza ingeniería social para engañar a los usuarios puede ser de mucha ayuda. Con esto en mente, las personas pueden minimizar el impacto de las estafas cibernéticas al conocer las variantes más comunes que utilizan los cibercriminales. Fortinet presenta en este artículo un resumen de las principales estafas:
- Phishing
Los ataques de phishing son muy comunes tanto en las redes corporativas como en las personales. Ocurren cuando un delincuente envía una comunicación (correo electrónico, llamada telefónica, mensaje de texto, etc.) en la que pretende ser otra persona para extraer o acceder a credenciales, datos personales o información financiera sobre el individuo objetivo o información sensible relacionada con la organización para la cual trabaja. Aquí hay algunos consejos que debe tener en cuenta para reconocer este tipo de mensajes maliciosos:
- Verifique los nombres de los contactos: tenga cuidado si recibe comunicaciones de una fuente que no reconoce y que le pide que realice una acción como proporcionar información personal o iniciar sesión en un sitio. Verifique su dirección de correo electrónico o número de teléfono y compárelo con la persona u organización con la que dice estar asociado para descubrir inconsistencias.
- Busque faltas de ortografía y gramática deficiente: las organizaciones profesionales se toman el tiempo de leer sus comunicaciones antes de enviarlas. A menudo, los cibercriminales de phishing no lo hacen. Si recibe un mensaje de una fuente supuestamente confiable que incluye errores tipográficos, una gramática deficiente o una mala puntuación, es probable que sea una estafa.
- Busque comportamiento agresivo: si el tema y tono de un mensaje son demasiado agresivos, es probable que sea una estafa. ¿Alguna vez ha visto un correo electrónico en su carpeta de SPAM que dice algo similar a «¡Urgente! Su cuenta está sobregirada por X días. ¡Contáctenos INMEDIATAMENTE”! El objetivo aquí es hacer que se sienta incómodo, se asuste y tome la acción que desean los estafadores.
- Spear phishing
Mientras que los ataques de phishing se envían en masa y ofrecen pistas relativamente fáciles de detectar, el spear phishing es su contraparte más específica y mucho más sofisticada. Los estafadores que practican este tipo de phishing realizan investigaciones en profundidad sobre sus víctimas y se toman el tiempo de comprender su organización, colegas, intereses y más para aumentar sus posibilidades de éxito. Para protegerse mejor del spear phishing, considere lo siguiente:
- Sea discreto al entregar información: por más que suene simple, si los usuarios no estuvieran entregando voluntariamente su información a los cibercriminales, el phishing no sería la estafa más efectiva.
- Mantenga una buena higiene de seguridad: cuanto practica la higiene básica de seguridad, niega a los estafadores muchos de los vectores de ataque comunes que utilizan para infectar sus máquinas y obtener acceso a su información o a la red de la organización. La implementación de hábitos simples y cotidianos puede contribuir en gran medida a evitar que las estafas comprometan con éxito un dispositivo o red.
- Baiting
El baiting o las estafas de carnada, como sugiere su nombre, apuntan a persuadir a los usuarios desprevenidos para que realicen una determinada acción como descargar un virus o ingresar información personal a cambio de la «carnada». Los cibercriminales pueden ofrecer cualquier cosa, desde software antivirus gratuito o películas que los usuarios pueden descargar, hasta un cebo físico como una unidad de memoria con la etiqueta «Información de Salario Corporativo» que la víctima puede encontrar y conectar a su máquina. Si bien este tipo de estafa puede tomar muchas formas, el objetivo final es siempre el mismo: atraer a los usuarios para que instalen software malicioso. Para protegerse y proteger su organización, preste atención a estos indicadores comunes:
- Evite ofertas gratuitas: como dice el viejo refrán: «si suena demasiado bueno para ser verdad, es probable que no lo sea». Muchos estafadores cibernéticos intentarán atraer víctimas con promesas de descargas gratuitas, envíos gratuitos, suscripciones gratuitas, etc.
- Evite las unidades flash externas o los discos duros desconocidos: las hostigaciones se pueden realizar digitalmente o con unidades físicas que instalan software malicioso. Asegúrese de conocer al propietario de la unidad antes de conectarla a su máquina.
- Ataques a dispositivos móviles
Los dispositivos móviles también están siendo cada vez más atacados por estafas criminales. Las aplicaciones falsas utilizadas para extraer datos o ransomware están ampliamente disponibles, especialmente para el sistema operativo Android. Tome en cuenta lo siguiente:
- Evite el enmascaramiento de malware como aplicaciones y actualizaciones legítimas: un número creciente de aplicaciones falsas están disponibles en tiendas de aplicaciones de terceros. Además, los implantes y actualizaciones que explotan aplicaciones y dispositivos también abundan (como el malware de criptominería).
- Use WiFi seguro: tenga cuidado con el WiFi gratuito. Los espacios públicos y tiendas que ofrecen conexiones WiFi gratuitas son lugares comunes para los ataques de intermediarios en donde los delincuentes a menudo transmiten la disponibilidad de servicios WiFi y luego los utilizan para capturar datos. Cuando use WiFi público, use conexiones VPN y evite transacciones confidenciales.
- Ataques a dispositivos IoT
Los dispositivos del IoT también son un vector de ataque cada vez más popular. Muchos dispositivos IoT son fáciles de explotar, tienen una conexión a Internet persistente y utilizan procesadores GPU potentes, lo que los hace ideales para la criptominería y las vulnerabilidades DDoS. ¿Cómo estar mejor preparado?
- Actualice credenciales: la estrategia de explotación más común es simplemente intentar conectarse a un dispositivo IoT utilizando su nombre de usuario y contraseña predeterminados. Siempre que sea posible, cambie la contraseña de sus enrutadores, televisores inteligentes y sistemas de entretenimiento en el hogar.
- Sea cuidadoso con los automóviles conectados: a medida que más y más dispositivos se interconectan, se vuelven vulnerables al ser el eslabón más débil de la cadena. Los dispositivos como los autos conectados no solo son objetivos atractivos para los atacantes, ya que contienen datos del usuario, información de contacto del teléfono e incluso información de pago, sino que su compromiso también puede representar un riesgo para los conductores y pasajeros. Al comprar un automóvil conectado, revise y cambie cuidadosamente sus configuraciones de seguridad predeterminadas y evite instalar aplicaciones de fuentes desconocidas.
Las estafas cibernéticas pueden afectar a cualquier persona que no esté al tanto de estas señales de advertencia comunes. A medida que las personas continúan adoptando más y más dispositivos que se conectan a una red, el riesgo de ser víctima de una estafa solo aumenta. Al conocer las estafas cibernéticas comunes que se dirigen a las personas hoy en día y reconocer los signos reveladores de esas estafas, puede proteger su valiosa información y la información de las redes a las que se conecta.