Robo de personalidad en Internet

De Miguel nos da pautas para evitar los ataques combinados en el robo de identidades en la red. Es primordial que los datos personales o de la empresa sean guardados con celo, para no caer en la denominada "ingeniería social" y el ataque técnico, el modus operandi de los ciberdelincuentes, que suelen ser bastante hábiles a la hora de engañar a su víctima y cuyos ataques son cada vez más frecuentes.

Un tipo de fraude relativamente nuevo se está haciendo cada vez más fuerte en Internet. El robo de la identidad de una única persona o de un número mayor de ellas puede causar un enorme daño tanto al propio usuario como a las compañías, tanto económicamente como en términos de reputación. Constantemente, nos encontramos con noticias en los medios sobre identidades robadas. Por ello, nos gustaría explicar cómo se producen y qué podemos hacer para protegernos frente a este tipo de ataques.

Existen diferentes maneras en las que los criminales pueden hacerse con nuestros datos personales, desde el contacto físico (robo de nuestra maleta o búsqueda de papeles en nuestra basura que contengan información personal) hasta otros métodos que probablemente no nos sean tan fáciles de reconocer.

En concreto, nos gustaría centrarnos en dos tipos de ataque en particular que se producen a menudo en combinación. Un aspecto que abarcaremos en los ataques combinados es lo que llamamos la ingeniería social, mientras que el otro resulta más técnico. Echémosle un vistazo a la ingeniería social:

El término “ingeniería social” se define como "el arte de manipular a la gente para que lleve a cabo acciones o divulgue información confidencial". En la mayoría de los casos, la ingeniería social requiere de una técnica denominada pretexting, que consiste en la creación de un escenario particular (pretexto) utilizado para persuadir a la víctima para revelar información o llevar a cabo una acción. Por ejemplo, esto puede hacerse a través del teléfono, llamando a la víctima y haciéndose pasar por un colaborador, un oficial de policía, la compañía eléctrica o un empleado del servicio de atención al cliente. Al convencer a la víctima de que el que está al otro lado del teléfono es quien dice ser, en muchos casos resulta extremadamente fácil obtener los datos personales de la víctima o de su empresa. En dicho caso, la víctima revelará bajo su propia voluntad datos que normalmente guarda en secreto, como credenciales de acceso, números de tarjetas de crédito o cualquier otro tipo de información sensible.

En otros escenarios, el componente de ingeniería social puede actuar como “puerta de entrada” a un ataque combinado y preparar el camino para el siguiente paso, de carácter técnico. Por ejemplo, el atacante puede decirle a la víctima que es necesario instalar un parche de seguridad urgentemente en su sistema, y que dicho parche le será enviado por correo electrónico. A menudo, otros trucos psicológicos se utilizan para intimidar y convencer a la víctima de que hay que llevar a cabo una acción concreta a cualquier coste. Cuando se le convence y accede a hacer lo que el atacante sugiere, el segundo paso del ataque combinado viene a continuación.

El ataque técnico representa el segundo paso en un ataque combinado de robo de identidad. Aquí entra en juego el uso de software malicioso que se instala en el sistema de la víctima. En muchos casos, este software se camufla como parches, actualizaciones necesarias o generalmente software legítimo a priori que necesita ser instalado con urgencia. También pueden hacerse pasar por facturas, avisos de entrega o cualquier cosa que haga que el receptor crea que su contenido es real y, por ende, necesite abrirse. En realidad, el software tiene un objetivo malicioso: robar los datos personales. Esto puede hacerse al interceptar las pulsaciones de teclado o el tráfico de la red del sistema escogido, o escaneando de forma activa los datos que pretenden interceptarse. Este tipo de software se considera Spyware. Sin el conocimiento o el consentimiento de la víctima, los datos almacenados o introducidos en el sistema se recopilan y se envían al atacante.

Conclusión: los usuarios deberían extremar las precauciones cuando alguien les contacte y les pregunte por datos personales o de su empresa. Si existe el menor atisbo de duda, no deje que el interlocutor le intimide. Si se siente inseguro, consulte a un experto antes de llevar a cabo cualquier acción por sí mismo. No revele ninguna información sensible si siente que la llamada le coacciona. Antes de abrir cualquier archivo que afirme constituir una importante actualización de seguridad o del sistema, escanee dicho archivo con un antivirus actualizado. Haga caso a su sentido común y, en caso de duda, mejor no actúe de la forma en la que le diga su interlocutor.

Jorge de Miguel, responsable de G Data Iberia