Imagen de Gerd Altmann en Pixabay
Si vamos paseando por la calle y alguien se nos acerca con un supuesto cupón de lotería premiado diciendo que no lo puede cobrar y que está buscando a alguien que se lo compre para, al menos, poder recuperar algo del dinero del premio, lo más seguro es que dudemos completamente de las intenciones de esa persona. Esta estafa, comúnmente conocida como Tocomocho desde principios del siglo XX, no es el único intento de engaño al que la sociedad se ha acostumbrado a lo largo del tiempo.
Otros ejemplos pueden ser el Timo de la Estampita o el Cuento del Tío (más conocido en América Latina) y, aunque se hayan desarrollado distintas variantes, el funcionamiento de todos ellos en esencia es siempre igual. Aunque su conocimiento no elimina por completo las probabilidades de éxito por parte de los estafadores, sí que limita mucho la eficacia de estas técnicas.
Algo parecido sucede con ciertos mensajes fraudulentos que circulan a través de internet. Actualmente es muy raro no haber oído hablar de la Estafa Nigeriana, en la que un supuesto príncipe de dicha región nos contacta por correo electrónico para, de una forma u otra, compartir su riqueza con nosotros; o no haber visto el anuncio del millón euros que nos acaba de tocar por haber sido el visitante un millón en una web a la que acabamos de acceder.
Cuando recibimos mensajes de este tipo, aunque no ocurre en todos los casos, lo normal es que se nos enciendan todas las alarmas y dudemos de su legitimidad. No obstante, el espacio cibernético presenta una gran diferencia respecto al entorno físico: su dinamismo y constante innovación. Todos los días se lanzan aplicaciones o plataformas nuevas y, aunque las más exitosas se pueden mantener a flote durante años, como es el caso de Twitter, Instagram, WhatsApp o LinkedIn, lo cierto es que otras no tienen tanta suerte. Es más, lo normal es que una aplicación sea eliminada a los pocos días de haberla descargado.
Dado que cada uno de estos espacios supone un medio distinto con un tipo específico de interacción, las estafas o formas de engaño en cada una de ellas también serán distintas. Esto da lugar a un amplio abanico de posibilidades al que la sociedad ya no está tan acostumbrada. Además, el hecho de que cada poco tiempo surjan nuevas plataformas, aplicaciones o funcionalidades supone una fuente de amenazas que pueden pasar completamente desapercibidas, aumentando las posibilidades de caer en ellas.
Todos estos ataques forman parte de las técnicas de Ingeniería Social, cuyo objetivo es hackear personas o, de forma más simple, engañarlas para conseguir un beneficio económico o determinada información, a menudo sensible. A continuación, se muestran ejemplos de cómo se llevan a cabo estos ataques en las plataformas más utilizadas actualmente.
Hay muchas formas mediante las que se ejecutan ataques a través de esta red social. Se distinguen dos métodos principales: las cadenas de mensajes y los ataques dirigidos. Esta diferencia puede verse como un reflejo de los ataques de phishing y spear phishing que se dan en el correo electrónico.
Foto de Anton en Pexels
Los atacantes detrás de las cadenas de mensajes de WhatsApp, al igual en el caso del phishing, no tienen un objetivo definido, no quieren engañar a una persona en concreto. Lo que buscan es que su mensaje se propague hasta el mayor número de individuos posible de manera que, por estadística, alguna acabará cayendo en la trampa.
Mensajes que anuncian vales descuento para restaurantes o establecimientos de comida rápida; cupones por valor de una cantidad económica determinada para comprar en supermercados; o el anuncio de que, a causa del confinamiento por el Coronavirus, Netflix está regalando pases gratis durante un año. Estos son solo algunos ejemplos y, dado que se aprovechan de las nuevas situaciones a nivel social para adaptar sus mensajes, nunca debemos de bajar la guardia.
Por otra parte, el objetivo de los ataques dirigidos, al igual que en el spear phishing, es conseguir que una persona determinada muerda el anzuelo. El objetivo es tomar el control de su cuenta de WhatsApp. Para habilitar las sesiones de esta aplicación en un dispositivo es necesario introducir un código numérico que se envía mediante mensaje de texto al teléfono en cuestión.
Los atacantes se pondrán en contacto con la víctima con el pretexto de que han enviado por error a ese número un código y pedirán si se lo pueden reenviar. Incluso, pueden hacerse pasar por el soporte técnico de WhatsApp diciendo que necesitan los números para verificar la cuenta.
El principal uso de esta plataforma consiste en compartir con los demás nuestras experiencias. Para ello subimos fotos o vídeos que pueden contener música de fondo, de la cual carecemos de derechos. Aprovechándose de esto, uno de los principales ataques que tiene lugar mediante esta red social es el envío de un correo electrónico alertando de que se va a proceder al cierre de la cuenta por haberse violado la ley de propiedad intelectual.
Foto de energepic.com en Pexels
No obstante, dejan la opción de que el usuario muestre disconformidad respecto a esta acción a través de un cuestionario en el que, entre otras cosas, debe meter sus datos de inicio de sesión. Aquí es donde se encuentra el engaño. Si el usuario accede y cae víctima de este mensaje, su cuenta se verá comprometida. Además, si utilizaba la misma contraseña para otras cuentas (algo desgraciadamente muy frecuente) la cantidad de información que corre peligro es aún mayor.
Un segundo tipo de ataque está relacionado con eventos típicos realizados en esta red social, como por ejemplo los incontables sorteos que se realizan. En estos los usuarios pueden conseguir productos como videoconsolas, teléfonos móviles, merchandising exclusivo e, incluso, una lujosa autocaravana.
El modus operandi de los atacantes consiste en crear una cuenta idéntica a la que realiza el sorteo y seguir a una gran cantidad de usuarios, muchos de los cuales también forman parte de la red de contactos de la cuenta legítima. El día del sorteo envían un mensaje a los usuarios que participaron indicándoles que han sido los ganadores. A partir de aquí, el resto es historia: enlaces a webs fraudulentas, ejecutables infectados, petición de datos… las víctimas se encontrarán con cualquiera de estos escenarios y, si no cuentan con un adecuado nivel de alerta, acabarán cayendo en ellos.
Incluso en la red social profesional, donde solo esperamos encontrar perfiles serios y oportunidades laborales, hay un hueco para incidentes de este tipo. En esta red se pueden encontrar memes, videos comerciales e invitaciones a eventos, pero sobre todo destaca la trasmisión de documentos, estudios y artículos de interés, llegando a ser científicos en los mejores casos. Por lo tanto, los engaños relacionados con premios y grandes descuentos serían demasiado sospechosos y no serían eficaces.
Foto de natanaelginting en Freepik
Las amenazas que apuntan a los usuarios de LinkedIn se dirigen a otro tipo de curiosidad: la intelectual. Desde agosto de 2019 se sabe de ingenieros sociales que se hacen pasar por investigadores de grupos o universidades prestigiosas (como Cambridge) que instaban a descargar un estudio científico innovador y de alto interés. Como ya nos podemos imaginar, realmente se trataba de un archivo infectado.
Estos ejemplos demuestran que los usuarios deben permanecer alerta en todo momento durante su contacto con las redes sociales. Los atacantes se adaptan rápidamente a las nuevas funcionalidades y plataformas, tienen la capacidad de elaborar mensajes que pasen completamente desapercibidos con el objetivo de conseguir el mayor número de víctimas posibles. Esto hace imposible mantenerse al día de todas las modalidades.
Para conseguir un buen nivel de seguridad en las redes, el primer paso es no dar difusión o viralizar mensajes en cadena de los que se pueden tener sospechas de su legitimidad. En segundo lugar, resulta muy útil tener claro lo siguiente:
- Qué datos no deben compartirse y que, por lo tanto, nunca nos van a pedir desde las entidades oficiales.
- Todo archivo ejecutable puede ser, en realidad, un malware que infecte nuestro dispositivo.
- Los enlaces no siempre tienen por qué llevar a páginas web legítimas. Pueden realizarse réplicas prácticamente idénticas a estas para conseguir ciertos datos o incluir elementos infectados. Siempre debemos tratar de acceder al sitio web en cuestión desde el navegador, evitando hacer clic en los enlaces que puedan habernos proporcionado.
Por último, y no menos importante, es de vital importancia tener en cuenta el factor humano. Como se mencionó al comienzo de este artículo, aunque todo el mundo sepa cómo funciona la Estafa Nigeriana o el Timo de la Estampita, son métodos que siguen vigentes hoy en día y eso es porque aún hay gente que cae en ellos. Esto no quiere decir que estas personas sean despreocupadas o menos listas, ni mucho menos; el motivo es que son técnicas muy potentes que atacan directamente a ciertas vulnerabilidades humanas.
La mejor forma de protegerse pasa por entender estas vulnerabilidades y conocerse para saber cuál de ellas es prioritario fortalecer. Kymatio cuenta con la tecnología necesaria para llevar a cabo esta identificación y entrena a cada usuario de forma personalizada manteniendo así un adecuado nivel de alerta.
Información de interés relacionada:
Disponible módulo de Kymatio que prepara a los empleados frente a técnicas de ingeniería social
