9 INGENIERÍA SOCIAL: ALERTA

 Es un término utilizado para un gran abanico de actividades maliciosas realizadas a través de las interacciones humanas. Utiliza la manipulación psicológica para engañar a los usuarios, para que cometan errores de seguridad o faciliten información confidencial; en pocas palabras, es el arte de manipular en su más pura esencia a las personas para que nos den lo que queremos, a lo que se le une la falta de conocimiento de las formas en las que estos pueden hackearnos.

Los ataques de ingeniería social se producen en uno o varios pasos: en primer lugar, el agresor investiga a la víctima para obtener la información necesaria como por dónde comunicarse con ésta y los protocolos que debe llevar a cabo el ataque; a continuación, el atacante actúa para ganarse la confianza de la víctima y usa palabras adecuadas para que el usuario objetivo caiga y así romper la seguridad, ya que le revelará información sensible o concederá acceso a sitios.

Lo que hace que la ingeniería social sea especialmente peligrosa es que se basa en el error humano más que en las vulnerabilidades del software o aplicaciones; por ejemplo, un atacante podría llamar a un usuario objetivo y fingir ser un miembro del personal de soporte para engañarlo y así que le dé su contraseña.

Como la ingeniería social tiene tanto éxito, los ataques basados en el phishing y el robo de identidad han aumentado un 500% en los últimos años. Según la Oficina Federal de Investigaciones, la ingeniería social cuesta las organizaciones 1600 millones de dólares en todo el mundo y pagan una media de 11,7 millones de dólares anuales por delitos de ciberseguridad.

Los ataques de ingeniería social pueden tener diferentes formas:  por ejemplo, de correo electrónico, a través del cual, si un delincuente consigue hackear o aplicar ingeniería social a la cuenta de correo de una persona, tendrá acceso a éste y como la mayoría de la gente utiliza la misma contraseña, probablemente también tenga acceso a las redes sociales de esta persona por ejemplo; por otro lado, los ataques de phishing son un tipo muy usado en esta estrategia de ingeniería social que envían correos e inventan un escenario lógico para entregar las credenciales de acceso u otros datos personales.

También te pueden pedir que hagas una donación para su recaudación de fondos de caridad o alguna otra causa o te presentan un problema que necesitan que verifiques tus datos;  incluso hay casos de premios que has ganado de forma inesperada y que piden que reclames los delincuentes. También pueden fingir que responden a tu solicitud de ayuda, eligen empresas que utilizan millones de personas como una empresa de software o un banco: si no utilizas el producto o el servicio ignorarás el correo electrónico, la llamada telefónica o el mensaje pero si, por casualidad, lo usas, hay muchas posibilidades de que respondas porque probablemente sí quieras ayuda con un problema.

Como podéis ver los ingenieros sociales manipulan los sentimientos humanos como la curiosidad o el miedo para llevar a cabo sus planes y hacer caer a las víctimas en sus trampas; por lo tanto ten en cuenta los siguientes consejos:

Primero -  No abras correos electrónicos ni archivos adjuntos de desconocidos si no conoces el remitente en cuestión: no tienes por qué responder a un correo electrónico; incluso si lo conoces y sospechas de su mensaje, coteja y confírmalo. Las ofertas extranjeras son falsas y peligrosas: si recibes un correo electrónico de una lotería o un sorteo extranjero, dinero de un familiar desconocido o solicitudes de transferencia de fondos de un país extranjero para obtener una parte del dinero, está garantizado que se trata de una estafa.

Desconfía de las ofertas tentadoras - si una oferta suena demasiado suculenta piénsalo dos veces antes de aceptarla: buscar en Google el tema puede ayudarte a determinar rápidamente si se trata de una oferta legítima o de una trampa.

Utiliza la autenticación multifactor - una de las informaciones más valiosas que buscan los atacantes son las credenciales de los usuarios: el uso de la autenticación multifactor ayuda a garantizar la seguridad de tu cuenta en caso de que el sistema se vea comprometido ya que se necesitará algo más que solo tener tu contraseña.

Mantén actualizado tu software antivirus y asegúrate de que las actualizaciones automáticas están activadas o acostúmbrate a estar pendiente de ellas - comprueba periódicamente que se han aplicado las actualizaciones y analiza tu sistema en busca de posibles amenazas.

Al final, te ponemos un ejemplo fuera del mundo virtual - no importa cuántas cerraduras y cerrojos haya en tus puertas y ventanas o si tienes sistema de alarma: si confías en la persona de la puerta que dice ser el repartidor de Amazon y le dejas entrar sin comprobar primero si es cierto, estás expuesto a cualquier riesgo.

9b. Papá Cibernauta compra un reloj

 El ataque de ingeniería social descrito en el vídeo comienza cuando el Papá Cibernauta busca un regalo de Navidad y realiza la compra de un dispositivo en una web fiable. El error clave ocurre después, cuando comparte públicamente en sus redes sociales los detalles de lo que acaba de comprar.

Aprovechando esta información pública y el hecho de que su número de teléfono también era visible en su perfil, un ciberdelincuente le llama haciéndose pasar por un técnico de soporte de la tienda. El atacante utiliza las siguientes tácticas para engañarle:

• Generan confianza: Le pregunta por su pedido reciente, demostrando que conoce sus movimientos.
• Plantea un problema: Le informa de un supuesto error en el proceso de envío para justificar la necesidad de confirmar datos.
• Usa un señuelo: El falso técnico le da cuatro dígitos incorrectos de su tarjeta a propósito. Al intentar corregir el error, el Papá Cibernauta termina facilitando voluntariamente el número completo de su tarjeta y sus datos personales.

El vídeo concluye advirtiendo que los usuarios somos a menudo el eslabón más débil y recomienda no facilitar nunca información privada por teléfono o mensajes, además de contrastar siempre la información antes de confiar en desconocidos.

9a. Ingeniería social

 

1. Bajo este término se engloban todas aquellas técnicas de manipulación que usan los ciberdelincuentes con el fin de obtener información confidencial de los usuarios como puede ser contraseñas, datos bancarios o acceso a sus dispositivos.
   
   

1. Cita tres medios que pueden ser utilizados por la ingeniería social para un ataque.
   - Correo electrónico (Phishing).
   - Llamadas telefónicas (Vishing).
   - Mensajes de texto SMS (Smishing).
   
   
2. ¿Qué dos características tiene el mensaje que nos lanzan a través de los medios de la pregunta anterior?
   -Sentido de urgencia o miedo: El mensaje suele decir que hay un problema grave (como una cuenta bloqueada) que requiere acción inmediata para que no pienses con claridad.
   - Suplantación de identidad: El atacante se hace pasar por una entidad legítima y de confianza (como un banco, una red social o un servicio público) para engañarte.

8. Guía para configurar el móvil

 ¿Qué nadie lo use sin tu permiso?

Es fundamental establecer contraseñas seguras y utilizar el doble factor de autenticación. Esto garantiza que, aunque alguien consiga tu clave, no pueda acceder a tus datos sin un segundo paso de verificación.

Protección contra virus y fraudes:

Mantener un antivirus actualizado y sobre todo, la actualización del software del sistema es vital. Las actualizaciones suelen incluir parches de seguridad que cierran puertas a posibles ataques externos.

¡No pierdas tu información y protégela!

Realiza copias de seguridad de forma periódica y activar el cifrado de los datos asegura que, en caso de robo o pérdida, tu información personal esté a salvo y puedas recuperarla fácilmente.

8c. 5 consejos básicos

 En esta entrada vamos a repasar cinco recomendaciones fundamentales para proteger nuestra información personal y mejorar la seguridad en nuestros teléfonos móviles y tablets.

1. Protege el acceso a tu dispositivo.
   Es la primera barrera d defensa. No dejes tu móvil "abierto"; utiliza siempre mecanismos de bloqueo seguros.
   Opciones: PIN, contraseña alfanumérica, patrón, huella dactilar o reconocimiento facial.
   Consejo: Las contraseñas alfanuméricas(letras y números) y la biometría son mucho más seguras que los patrones simples.
2. Comprueba que tu dispositivo está actualizado.
   Los fabricantes lanzan actualizaciones no solo para añadir funciones, sino para corregir errores de seguridad (parches).
   ¿Qué hacer? Ve a los ajustes de tu sistema y busca "Actualización de software". Mantener el sistema al día evita que los ciberdelincuentes aprovechen fallos antiguos.
3. Haz copias de seguridad y cifra tu información.
   Para no perder tus fotos, contactos y documentos en caso de robo o avería, es vital tener un respaldo.
   Cifrado: Sirve para que, si alguien accede a tus datos sin permiso, no pueda leerlos.
   Herramientas: Puedes usar Google Drive (Android) o iCloud (iOS) para automatizar estas copias.
4. Descarga e instala aplicaciones desde tiendas oficiales.
   Evita instalar aplicaciones de procedencia desconocida o de páginas web de terceros.
   Tiendas seguras: Utiliza siempre la Google Play Store o la App Store de Apple.
   Importante: Revisa siempre los "Permisos" que pide la app antes de instalarla.
5. Activa la verificación en dos pasos (Doble factor).
   Añade un capa extra de seguridad. Aunque alguien consiga tu contraseña, no podrá entrar en tu cuenta sin un segundo código que te llegará a tu móvil.
   Recomendaciones: Actívalo en tu cuenta de Google, Apple ID y en tus redes sociales principales.

La seguridad de nuestra vida digital empieza por nosotros mismos. Aplicar estos cinco pasos no quita mucho tiempo y, a cambio, nos da la tranquilidad de saber que nuestras fotos, mensajes y datos bancarios están mucho mejor protegidos.
¡No lo dejes para mañana y revisa tus ajustes hoy mismo!

Para ver el video completa picha aquí.

8b. El juego de los permisos

 

1. En la aplicación Music App, sería correcto rechazar el permiso de micrófono, cámara, SMS, lista de contactos porque no debes aceptar esos permiso para que la aplicación funcione correctamente. Si la app activa el micrófono podría escuchar tus conversaciones privadas, una app de música no debería necesitar acceso a la cámara de tu dispositivo para funcionar, no tiene sentido que una app de música acceda a tus SMS, la aplicación podría utilizar tus contactos para el envío de publicidad.

   
   
2. En la aplicación TRANS_Later, sería correcto rechazar el permiso de micrófono, cámara, cuentas y credenciales, SMS, porque si la app activa el micrófono podría escuchar tus conversaciones privadas, puedes rechazarlo ya que no afecta ni ayuda a cumplir la función de la aplicación, la app puede guardar tus credenciales y comprometer tu privacidad, podría leer, enviar y borrar mensajes de texto sin tu consentimiento.
   
   
3. En la aplicación LinternApp, sería correcto aceptar el permiso de ubicación, registro de llamadas, fotos,  porque la app podría monitorizar tu ubicación, podría realizar llamadas no autorizadas o consultar el histórico de llamadas realizadas, podría recopilar metadatos de tus fotos y obtener información adicional.
   
   
4. En la aplicación Confi-Bank, sería correcto aceptar el permiso de contactos, fotos, wifi, porque si das acceso a tus contactos la app podría comunicarse con ellos sin tu consentimiento, podría recopilar metadatos de tus fotos y obtener información adicional, obtener información de donde está ubicada esta red y tener acceso a ella.
   
   
5. En la aplicación Play&Crush, sería correcto aceptar el permiso de fotos, Bluetooth, porque podría recopilar metadatos de tus fotos y obtener información adicional como el lugar donde hiciste las fotos, la aplicación podría transmitir información de tu móvil a otros dispositivos cercanos sin que seas consciente de ello, 

8a. Estafa por WhatsApp

 

1. Primer párrafo: ¿A la mujer del aeropuerto, por qué no le funciona el WhatsApp? ¿Ha cometido algún error?
   No le funciona porque un usurpador ha robado su cuenta. Ella cometió el error de enviar un código de verificación que le pidió una supuesta amiga por mensaje. Al proporcionar ese código, el atacante pudo activar la cuanta de la mujer en su propio dispositivo, desconectándola a ella automáticamente.
   
   
2. Segundo párrafo: ¿De parte de quién parecía que venía el whatsapp recibido pidiendo el código?
   Una amiga suya que supuestamente "se había liado con el WhatsApp.
   
   ¿De quién venía en realidad?
   Un estafador (usurpador) que ya había robado previamente la cuanta de esa amiga.
   
   ¿Qué había hecho previamente ese usurpador?
   Primero, roba una cuenta; luego, escribe a los contactos de esa cuanta usando un lenguaje familiar (palabras como "amore" o "nena") para generar confianza.
   
   ¿Qué hace el usurpador una vez que ha recibido el código?
   Una vez recibe el código de una nueva víctima, toma el control de su cuenta y comienza a pedir dinero (vía Bizum o transferencia) a sus amigos y familiares.
   
   
3. Párrafos 3, 4, 5 y 6: ¿Qué era lo más sorprendente del asunto?
   Lo más sorprendente es la capacidad de mimetización de los estafadores, quienes leen mensajes anteriores para copiar el estilo de hablar de la víctima.
   
   ¿Se utilizaba una IA (Inteligencia Artificial) o se hace de otra forma?
   El experto Martín Vigo menciona que, aunque parece una IA por la rapidez, es poco probable. Los atacantes suelen hacerlo "a mano", copiando y pegando frases de chats antiguos o usando "scripts" sencillos, ya que WhatsApp dificulta la autorización externa total con herramientas como ChatGPT.
   
   
4. Párrafo 7: ¿Hay algún truco o consejo para evitar picar en este tipo de trampa?
   El artículo sugiere establecer una palabra de código o una pregunta secreta que solo esa persona sepa responder (por ejemplo: "¿dónde fuimos de vacaciones el año pasado?"). Si la persona no sabe responder o evita la pregunta, sabrás que es un estafador.
   
   
5. Según el párrafo 8, el usurpador, antes, había accedido al WhatsApp de una amiga de la mujer del aeropuerto, algo que no parece difícil con las técnicas de los ciberdelincuentes. Pero en el párrafo siguiente "cómo puede robarse una cuenta de WhatsApp" dice que para registrarse hace falta....
   Para registrarse en una cuanta ajena, el delincuente solo necesita obtener el código de verificación de seis cifras que WhatsApp envía por SMS al número de la víctima. El texto explica que pueden conseguirlo por engaño directo o incluso hackeando el buzón de voz si el código se entrega por llamada.
   
   
6. Entonces, como conclusión: ¿Qué harías si alguien, incluso un "amigo" o "conocido" te pide que le pases un código de números que te acaba de llegar al móvil y que necesita "para verificar nosequé"? Escríbelo en mayúsculas y comienza la frase por SI ALGUIEN ME PIDE QUE...

SI ALGUIEN ME PIDE QUE LE PASE UN CÓDIGO DE NÚMEROS QUE ME ACABA DE LLEGAR AL MÓVIL, NO SE LO DARÉ BAJO NINGUNA CIRCUNSTANCIA Y LLAMARÉ POR TELÉFONO A ESA PERSONA PARA VERIFICAR SU IDENTIDAD