En octubre, el mes de la concienciación en ciberseguridad, seguimos comprendiendo la importancia de una cultura de seguridad digital y aprendiendo a proteger información como: nuestros datos personales y también aquellos de la organización o institución a la que pertenecemos.
Nosotros como usuarios de tecnologías de la información y comunicación somos el eslabón más débil en el sistema de seguridad de la información y protección de los datos personales. Por ello, debemos reconocer a los ciberataques, identificar sus riesgos, implementar medidas preventivas y gestionar aquellas amenazas que detectemos.
Los ciberataques son cualquier intento deliberado de robar, exponer, alterar, dañar o destruir datos, aplicaciones u otros activos a través del acceso no autorizado a una red, sistema informático o dispositivo digital por parte de un delincuente informático. Los ciberdelincuentes, a través de un ciberataque, tienen como objetivo comprometer la seguridad y la integridad de computadores personales, portátiles, dispositivos móviles y en general cualquier sistema informático o infraestructura de telecomunicaciones.
Entre los principales ciberataques los más comunes son: a) Ataques a contraseñas a través de fuerza bruta o ataques por diccionario; b) Ataques a las conexiones como WiFi falsas, ataques a Cookies, ataques DDoS, inyección SQL, escaneo de puertos, ataques de Hombre en el Medio (Man of the middle), Sniffing, Spoofing o Suplantación (IP Spoofing, Web Spoofing, Email Spoofing, DNS Spoofing); c) Ataques por malware (código malicioso) como virus, Adware o anuncios maliciosos, Spyware o software espía, Troyanos (Backdoors, Keyloggers, Stealers, Ransomware), Gusano, Tootkit, Botnets o redes zombi, Rogueware o el falso antivirus, Criptojacking, Apps maliciosas; d) Ataques de Ingeniería Social como: Phishing (Suplantación de Identidad), Vishing, Smishing, Spear Phishing, Baiting o gancho, Spam, Fraudes online, Hunting, Farming, entre otros.
Los ciberdelincuentes usan estas técnicas maliciosas para ingresar a una red, dispositivo o sistema, aprovechándose de las vulnerabilidades en los sistemas e infraestructura; de los fallos en sus configuraciones; de los defectos de los sistemas; y, de los errores de usuarios no concienciados.
Es decir, usan vectores de ataque, que es el camino o método que utiliza un atacante para introducir código malicioso o ganar acceso no autorizado a un sistema informático. Es como una puerta trasera que un ladrón busca para entrar a una casa.
Los vectores de ataque más comunes son: a) Correo electrónico y Mensajería instantánea, b) Navegación Web, c) Aplicaciones Web, portales corporativos, intranets y redes sociales, d) Software de redes y sistemas mal configurados, desactualizados o no parchados, e) Credenciales de usuario comprometidas, f) Contraseñas y credenciales predecibles o por defecto, g) Carencias de cifrado, g) Debilidades, entre otros.
El ciberataque que más conmoción y alarma social causa debido al contacto directo con las víctimas es el de ingeniería social.
Según el Instituto Nacional de Ciberseguridad de España (NCIBE), “La ingeniería social basa su comportamiento en una premisa básica: es más fácil manejar a las personas que a las máquinas. Para llevar a cabo este tipo de ataque se utilizan técnicas de manipulación psicológica con el objetivo de conseguir que los usuarios revelen información confidencial o realicen cualquier tipo de acción que pueda beneficiar al ciberdelincuente.”
En los ataques de Ingeniería Social, los ciberdelincuentes utilizan el engaño como arma del delito, por medio del cual tratan de ganarse la confianza del usuario para conseguir información y datos personales, en especial los bancarios, ejecutar un programa malicioso, obtener información bancaria, credenciales de acceso, claves privadas o redireccionar para que se compre en sitios web fraudulentos; trata de que el usuario descargue malware para tomar control de los dispositivos o sistemas.
Entre las técnicas de ataques por Ingeniería Social podemos mencionar a las siguientes:
Phishing: Utiliza las redes sociales o correos electrónicos con archivos adjuntos infectados o enlaces a páginas fraudulentas con el objetivo de tomar control de los equipos o dispositivos de los usuarios y robar información confidencial.
Smishing: Es una variante del Phishing y se difunde a través de los Servicios de Mensajería Corta (SMS) del Servicio Móvil Avanzado por medio del cual se pide al usuario que llame a un número de tarifación especial o que acceda a un enlace de un sitio Web falso y obtener información y datos personales.
Vishing: A través de llamadas telefónicas, el ciberdelincuente se hace pasar por una organización o persona de confianza para que la víctima revele información privada; ahora los ciberdelincuentes utilizan Inteligencia Artificial (IA) para suplantar la voz.
Baiting: También conocido como “cebo”, utiliza un medio físico como por ejemplo un dispositivo USB infectado para que al momento de conectarlo al equipo del usuario se ejecute un malware con el objetivo de robar datos personales o tomar control de un equipo o dispositivo, así también puede infectar una red y llegar al resto de equipos. Puede utilizar anuncios y Webs para promocionar concursos y premios que persuade a compartir datos personales o bancarios o descargar malware.
Spam: Tiene como objetivo enviar grandes cantidades de mensajes utilizando por ejemplo el correo electrónico, o a través de Internet o redes sociales, sin haberlos solicitado, con lo cual el ciberdelincuente maximiza las opciones de éxito de un ataque de tipo phishing a una población grande, o tratar de infectar a la mayor cantidad de equipos y dispositivos mediante malware.
Fraudes online: Se utiliza la Ingeniería Social para llevar a cabo fraudes y estafas online para engañar a los usuarios para que revele de alguna manera datos personales o bancarios y así obtener un beneficio económico.
La Ingeniería Social tiene éxito porque explota nuestras acciones diarias; esto dificulta a los empleados darse cuenta de que son parte de un ataque de Ingeniería Social, por eso deben ser parte de la conversación sobre la concienciación de seguridad y las Políticas de Seguridad de la Información de las Instituciones o de las Organizaciones, deben reflejarlo.
Para evitar estos ataques de Ingeniería Social se debe tener conciencia de la ciberseguridad y considerar las siguientes recomendaciones:
- Leer los mensajes detenidamente, en especial cuando se trata de entidades con peticiones urgentes, promociones o publicidad demasiada atractiva.
- Detectar errores gramaticales en el mensaje.
- Revisar si las direcciones de enlace coinciden con la dirección a la que apunta.
- Comprobar el remitente del mensaje.
- No descargar ningún archivo adjunto y analizarlo previamente con algún software antivirus.
- No contestar mensajes de tipo sospechoso o con remitentes desconocidos y eliminarlos.
- No contestar llamadas de números que no se encuentren en nuestro directorio, o de números extranjeros si no se tiene necesidad justificada.
- Evitar conectar a nuestros equipos, cualquier dispositivo desconocido de almacenamiento externo o con conexión USB
- Mantener nuestros sistemas actualizados y tener un buen software antivirus, siempre activado y actualizado.
- Evitar que terceros tengan visión de nuestras actividades en nuestros dispositivos, en especial en sitios públicos, no acceder a cuentas o a información personal.
- Utilizar gestores de contraseñas y verificación de doble autenticación.
- No utilizar cuentas de correo electrónico institucional o empresarial para registrarse en ofertas o promociones por Internet.
Para obtener más información respecto a ciberataques y como protegernos, podemos visitar el Sitio Web del Centro de Respuesta a Incidentes Informáticos EcuCERT de la ARCOTEL (https://www.ecucert.gob.ec/); el sitio Web del Comando de Ciberdefensa COCIBER del CCFFAA del Ecuador (https://cociber.ccffaa.mil.ec/); el Sitio Web del CSIRT de la Escuela Politécnica Nacional (https://www.csirt-epn.edu.ec/); así también el Sitio Web del Instituto Nacional de Ciberseguridad INCIBE (https://www.incibe.es/).