Recomendaciones prácticas para prevenir ataques de Ingeniería Social

Carlos Alfredo Mora Fernández

Especialista en información con experiencia en proyectos de unidades de información y tecnología, Editor de libros y Editor Técnico de Revistas Científicas Electrónicas.



Ingeniería social | prevención | recomendaciones | seguridad



14 de mayo de 2020

Recomendaciones prácticas para prevenir ataques de ingeniería social

Desde hace un tiempo por las Redes Sociales he visto muchos casos de victimas de diversos ciberataques, uno de los comunes es el robo de identidad, donde le acceden a las cuentas de redes sociales y comienzan a ofrecer dólares u otros artículos, pedir ayudas económicas a sus familiares y otras situaciones falsas con las que las victimas, su circulo familiar y allegados son afectados mientras que los criminales se benefician ocultando sus verdaderas identidades, los perjudicados piensan que son atacados por un «jáquer»; alguien que de la nada cambió el acceso a estas cuentas, pero generalmente no es así, simplemente tuvieron la mala suerte de caer en manos de un criminal que aplicó la Ingeniería Social.

La Ingeniería social puede producir situaciones incómodas

Primero, debemos definir el término en cuestión:

La ingeniería social es una de las formas en las que los cibercriminales usan las interacciones entre personas para que el usuario comparta información confidencial. Ya que la ingeniería social se basa en la naturaleza humana y las reacciones humanas, hay muchas formas en que los atacantes pueden engañar, en línea o sin conexión.
https://co.norton.com/

La Ingeniería Social «caza» datos personales

Por años ha sido una manera de acceder principalmente a cuentas de correo electrónico, ya que la bandeja de entrada es utilizada como medio de verificación y comunicación directa indispensable entre el usuario final y diferentes organizaciones en físico como digitales, por ello es un blanco que debemos proteger de los cibercriminales, ya que si alguien con malas intenciones logra acceder a nuestro correo podría manejar fácilmente servicios vinculados como cuentas bancarias o redes sociales en general.

Cada vez mas personas son victimas de robo de identidad

Los objetivos de estas personas mal intencionadas son múltiples, en la actualidad las más comunes son: Acceso a cuentas bancarias, «carding». sobornos, extorsión, chantaje, robo de identidad, de este último se han presentado muchos casos, ya que el criminal usa las cuentas de la víctima para ocultar su propia identidad y así poder sembrar terror a familiares y amigos de las víctimas.

A continuación presentaré consejos básicos que se pueden aplicar sin muchos conocimientos de tecnología, solo son trucos que nos ayudarán a prevenir este tipo de ataques

Mejoremos y resguardemos nuestras contraseñas

Una mala práctica: dejar las contraseñas en notas de papel a la vista

El portal Dinero Hace un tiempo publicó un artículo titulado «¡Muy inseguras! Así son las contraseñas más usadas en internet», la número uno es la famosa «123456», en el listado también se encuentran «123456789», «password» (contraseña en inglés), entre otras, veo poco probable que alguien en la actualidad utilice estas contraseñas (al menos para cuentas importantes), pero muchas contraseñas tan fáciles como estas, como por ejemplo (una muy común) documentos de identidad, fechas importantes (como cumpleaños propios y de familiares). Estas claves facilitan el trabajo del ingeniero social, ya que, con investigar un poco sobre la victima y su circulo familiar podrían ingresar a las cuentas.

Servicio en línea para creación de claves seguras

La recomendación para tener una buena contraseña es (y sonará trillado), que tenga al menos diez caracteres, mezclados entre números, letras mayúsculas y minúsculas y caracteres especiales como «*!”·$%», para no matarnos la cabeza, tenemos alternativas en línea para crear contraseñas seguras, desde hace un tiempo utilizo https://clavesegura.org, es un servicio que genera contraseñas automáticas al azar, y no quedan registradas en ninguna base de datos, además que, no saben en a que cuenta se le colocará la clave, de igual manera recomiendo copiar la clave y sustituir un carácter, posiblemente no sea tan fácil recordar una clave así, por ello es que podríamos utilizar una aplicación de administración de claves (en las tiendas de nuestros teléfonos inteligentes podremos ver varias), en caso extremo que necesitemos papel y lápiz sería bueno guardarla en un lugar seguro, recomiendo no escribir la clave tal cual, sino cambiar un carácter y memorizar el cambio de manera de que se pueda despistar por si cae en manos equivocadas.

Otro método que podemos utilizar es registrarse en una página nueva con «Social Login» (si está disponible), con este método podemos iniciar sesión en múltiples sitios con la contraseña del sitio que escojamos principalmente, Google, Facebook, Twitter y otros servicios grandes de comunicación, la ventaja de esto es que nuestros datos de inicio de sesión quedan almacenados en servidores seguros y con una sola cuenta manejaremos varias sesiones sin dejar «regados» nuestros datos en múltiples sitios, que siendo claros, muchas veces usamos una vez.

Verifiquemos que la URL de la página web sea la correcta

Gráfica que muestra página no segura (HTTP) y segura (HTTPS)

Los cibercriminales caen en la práctica de crear portales falsos para engañar a las victimas, que estas inicien sesión, guardan la clave en una base de datos, simulan algún fallo del sistema y pasa al sitio real, a estos portales se les denomina «Xploit» (proviene del inglés y significa explotar o aprovechar), esta es una práctica que para mí ya ha caído en desuso, al menos para los correos electrónicos ya que la grandes proveedores de estos servicios se han dado la tarea de advertir sobre este tipo de enlaces maliciosos o simplemente lo envía a la bandeja de «spam», imagino que se debe usar con otras páginas, por ese motivo antes de introducir la contraseña debemos verificar que sea la página correcta, también debemos verificar que la página cuente con certificado SSL (en español capa de puertos seguros), es resumen, el SSL lo que hace es que «cifra» la información que intercambia el usuario con la página web, lo que baja la probabilidad que sea interpretado por terceros. Al ser un servicio pago no todas las organizaciones tienen acceso al mismo, por esa razón en muchos casos veremos la advertencia en el navegador. Pero igual debemos verificar la autenticidad del mismo.

Blindemos las respuestas de seguridad

Mi color favorito, nombre de mi primera escuela, nombre de mi mascota, nombre de mi madre, son algunas preguntas de seguridad que muchos responden de manera obvia, dejando sus cuentas a desprotegidas frente a un ataque de un cibercriminal. Esto es algo delicado que muchos pasamos por alto, gran cantidad de ataques son realizados resolviendo las mismas, por ello deberíamos «blindarlas», no ser tan obvios ponernos un poco creativos, y despistar al mal intencionado. Pongámonos prácticos, supongamos que alguien tiene en su correo electrónico la pregunta de seguridad «Nombre de mi mascota», el atacante ve la pregunta y se va a Facebook, busca entre sus publicaciones y consigue el nombre de su perrito, resuelve la pregunta de seguridad cambia la contraseña del correo y posteriormente y posiblemente a cuentas de redes sociales y bancarias. Y así pueden aplicar la ingeniería social para «descifrar» preguntas de seguridad. Se sabe que en muchos casos vienen predefinidas en el servicio que vayamos a utilizar Es por ello, que recomiendo «jugar» un poco con las respuestas, como por ejemplo, si la pregunta es «nombre de mi hijo mayor» y se llama Martín, podríamos colocar como respuesta M4rtin (sustituir letras por números), es fácil de recordar y si el atacante investiga un poco se puede despistar, otro caso sería «responder sin sentido», volvemos con el ejemplo de «nombre de mi hijo mayor», y podríamos responder algo totalmente fuera de lugar, que no sea ni remotamente cercana la respuesta pero que solo nosotros podamos recordar, usemos de ejemplo «playa». Solo debemos ser creativos y usar un poco el sentido común.

Protejamos nuestros datos personales

En la era del internet nos hemos visto por diferentes razones publicar nuestros datos en alguna página, sea académica, o laboral, debemos cuidarnos de ello y verificar que tan seguros son esos portales, se ven casos en que esas páginas venden los datos a tercero para múltiples razones, la más común es mercadeo electrónico, generalmente venden la dirección de correo electrónico a empresas dedicadas a enviar correo invasivo a nuestra bandeja de entrada, esta práctica, no es ética, pero actualmente no afecta mucho porque los proveedores de correo electrónico neutralizan esas direcciones y envía los correos a bandejas de no deseados, pero igual esa información podría utilizarse con peores fines. No quiero profundizar en este punto, pero les recomendaré que hagan una práctica, coloquen sus datos en el buscador de Google y si ven páginas que publican datos sin autorización pueden solicitar eliminarlos, no nombraré por acá una especifica que me parece perjudicial, pero recomiendo que hagan la tarea y se pueden llevar sorpresas.

Este tema es interesante, y queda mucha tela por cortar, pero no es el caso de este artículo, solo quiero evitar que pasen, o vuelvan a pasar, según el caso por estas situaciones incomodas, no quise tocar la parte legal, que sabemos que muchos de estos casos quedan impunes, así que lo mejor es prevenir, que como les he mostrado no es complicado, ni se necesitan muchos conocimientos técnicos.

Si tienen dudas, recomendaciones, o correcciones serán bien recibidas en el área de comentarios, además están abiertos mis canales de contacto para quienes lo quieran hacer por privado.