Cuando pensamos en ciberataques, la mayoría de las veces tendemos a imaginar a un habilidoso hacker tras su pantalla de ordenador llena de ventanas con códigos ininteligibles y tecleando de manera frenética, luchando contra sistemas de defensa contra ciberataques de grandes compañías.
Si bien esas situaciones son (en cierta medida) verosímiles, los ciberataques más extendidos suelen ser dirigidos a personas de a pie, y haciendo uso de una herramienta más sencilla pero no por ello poco potente.
La “Ingeniería Social”, que a grandes rasgos significa que los ciberdelincuentes hacen uso de engaños y manipulaciones para obtener información, acceso a nuestros dispositivos o permisos de los usuarios que tienen como objetivo. Para ello se valen de las formas de comunicación más comunes hoy en día.
Phishing, probablemente el ciberataque más extendido
Cada día recibimos infinidad de correos electrónicos tanto de naturaleza profesional como personal.
En el trabajo nos comunicamos constantemente con compañer@s, proveedores, clientes… y en el ámbito personal recibimos notificaciones de envíos de nuestras compras, de nuestros bancos, blogs en los que estamos registrad@s… Es normal que ante tal avalancha de información podamos eventualmente bajar la guardia, y los ciberdelincuentes lo saben. Es por eso que utilizan el correo electrónico como su herramienta principal de obtención de información.
Es habitual que por medio de estos correos electrónicos pretendan suplantar a entidades bancarias o grandes compañías, con la excusa de un sorteo en el que nos anuncian que hemos sido premiados o solicitándonos que actualicemos nuestros datos por una razón cualquiera.
Así mismo para evitar que el receptor del mensaje pueda apreciar anomalías, todos estos correos suelen tener un cierto aire de urgencia, indicándonos que se trata de una oferta limitada o que el ignorarlos puede suponernos unas consecuencias negativas. Normalmente dichos correos suelen incluir enlaces a páginas web que también pretenden suplantar la de dichas empresas o bancos, donde o bien nos solicitarán la entrada de datos confidenciales e incluso pueden llegar a inyectar en nuestros dispositivos algún tipo de malware.
Nuestra mejor baza en estos casos es el sentido común. Nuestros bancos nunca nos pedirán por medio del correo electrónico datos de nuestra cuenta, tarjetas o claves (incluida la CVV), dado que ellos son ya custodios de dicha información.
Y en caso de tratarse de algún tipo de sorteo es posible que una simple inspección de las direcciones remitentes (donde puede haber caracteres que no corresponden a la marca del remitente) o los enlaces que aparecen en el correo nos aclare que se trata de algún tipo de fraude.
¿Interesado en ampliar información sobre Ciberseguridad?
Contacta con nosotros y un consultor especializado te explicará los servicios y soluciones más adecuados para los principales riesgos emergentes en esta área
|
Vishing, un paso más allá para vulnerar nuestra seguridad
El término “Vishing” viene de la unión de “voice” y “Phishing”, y hace referencia al tipo de estafa que combina una llamada telefónica con datos obtenidos previamente sobre el objetivo del ataque. Normalmente los ciberdelincuentes recurren a este tipo de acción cuando la información que han obtenido por otro medio, como el phishing, no les es suficiente para acceder a la información deseada.
Por ejemplo, cuando tenemos el acceso a algún servicio protegido por una autenticación de doble factor, no les basta con saber el usuario y contraseña, sino que también pueden necesitar una clave o token recibida por algún otro medio (como por ejemplo un SMS), por lo que llaman a nuestro número de teléfono suplantando a la empresa que nos presta el servicio para pedirnos que le facilitemos dicha clave.
Nunca debemos facilitar a nadie que nos solicite por teléfono una de estas claves de validación. Precisamente su función es que tan solo la persona que la recibe haga uso de la misma, y facilitándola podríamos estar dando a los atacantes la posibilidad de suplantarnos y realizar cualquier tipo de acción en nuestro nombre, tales como compras, transferencias, exfiltración de información, etc…
Smishing, la tecnología del pasado nos hace vulnerables en el presente
El termino Smishing viene de aunar “phishing” con “SMS”, y como su nombre indica se vale de los servicios de mensajería para intentar robarnos información. Las formas más comunes de conseguirlo suelen ser enlaces que nos llevan a sitios web maliciosos que suplanten algún servicio bancario o tienda online donde nos pedirían credenciales, o que nos invitan a descargar algún software que se instalaría en nuestros smartphones.que se encargase de robarnos toda la información contenida en los mismos.
No solo corren riesgo nuestros datos personales, sino que como a menudo empezamos a utilizar nuestros dispositivos personales para acceder a herramientas corporativas como por ejemplo el correo electrónico, este tipo de ataques se han convertido también en un riesgo a nivel empresarial.
La forma más segura de actuar en estos casos es ignorar y/o borrar cualquier SMS que no hayamos solicitado previamente, dado que ninguna institución financiera o empresa nos enviará un mensaje de texto que pida que actualicemos la información de nuestra cuenta o que confirmemos el código de una tarjeta de cajero automático.
Si recibimos un mensaje que parece ser de nuestro banco o de una empresa con la que colaboremos, y nos pide que hagamos clic en algo en el mensaje, se trata de un fraude. Lo mejor es llamar a nuestro banco o a la empresa directamente en caso de duda.
Debemos tener especial cuidado con este tipo de ataque concreto hoy en día, dado que hay en marcha actualmente una fuerte campaña en marcha suplantando compañías de mensajería y entidades bancarias.
https://www.incibe.es/protege-tu-empresa/avisos-seguridad/campana-malware-mediante-sms-suplantando-correos-robar
Semantic Systems puede ayudarte a protegerte
Sabemos que puede resultar abrumador darnos cuenta de cuantos flancos pueden ser utilizados para vulnerar nuestra “integridad digital”, por eso queremos ofrecerte nuestra ayuda para poder protegerte de todos estos y muchos más tipos de ataque.
También te puede interesar leer el ebook tecnológico: Los mejores artículos de ciberseguridad de Semantic Systems
El equipo de seguridad de Semantic Systems puede asesoraros y acompañaros en el proceso ofreciendo soluciones como, por ejemplo:
- Herramientas capaces de detectar este tipo de estafas y filtrarlas incluso antes de llegar a vuestra red o se entreguen a sus destinatarios finales.
- Filtrado de navegación a internet impidiendo que nadie en vuestra organización pueda llegar ni tan siquiera de manera accidental a sitios web maliciosos.
- SoC virtuales basados en IA que puedan observar todo lo que sucede en tu red a cada momento e incluso actuar en consecuencia de manera autónoma parando en seco las amenazas.
- Campañas de concienciación, formación, simulaciones de ataques como phising o ransomware con reporting y análisis de resultados para encontrar nuestros puntos más vulnerables y posteriormente reforzarlos…
La mejor manera de defenderse de los ciberataques es ser proactivos y actuar antes de que sucedan, y podéis contar con nosotros para ello.
¿Interesado en ampliar información sobre Ciberseguridad?
Contacta con nosotros y un consultor especializado te explicará los servicios y soluciones más adecuados para los principales riesgos emergentes en esta área
|
Iagoba Diaz
Analista de Ciberseguridad en Semantic Systems