Cuando hablamos de seguridad en Internet solo podemos tener la certeza de que nada -ni nadie- está a salvo. No importa si tenemos el mejor antivirus, un firewall bien configurado y utilizamos contraseñas fuertes en nuestras cuentas; como usuarios representamos el eslabón más débil en la cadena de seguridad, ya que en nuestra condición de humanos no estamos libres de cometer errores.

Con el objeto de aprovechar los errores humanos para vulnerar sistemas, existe una técnica denominada Ingeniería social, que a su vez cuenta con una serie de métodos cada vez más populares que pueden poner en riesgo tanto nuestra seguridad y privacidad como la integridad de nuestros datos.

Contra la Ingeniería social, las armas más efectivas son la prevención y el conocimiento, por lo que esta nueva edición de la guía de la semana está enfocada en dar a conocer los métodos más utilizados, de forma tal que estemos prevenidos y podamos reaccionar ante un posible ataque.

¿Qué es la Ingeniería social?

Como lo mencioné al principio, la Ingeniería social es una técnica que aprovecha los errores humanos para comprometer las seguridad de los sistemas, pero también podríamos decir que es un arte cuyas herramientas principales son el engaño y la confusión.

Así como existen piratas informáticos que irrumpen en sistemas aprovechando vulnerabilidades en el software, hay quienes se hacen expertos en engañar y manipular a otras personas, y así, a través de estas, conseguir los datos necesarios para acceder no solo a sistemas, sino también a nuestras cuentas personales en redes sociales, correo electrónico, números de tarjetas de crédito y en general a cualquier información personal de carácter privado.

Aunque el término “Ingeniería social” comenzó a escucharse con más frecuencia en tiempos recientes, la técnica existe desde que las personas decidieron que engañar a otros es una forma aceptable de ganarse la vida.

Un pirata informático que utiliza la Ingeniería social como técnica de ataque, no necesita estar frente a frente con su víctima, de hecho, en la mayoría de los casos aprovecha herramientas que usamos a diario, como por ejemplo, el correo electrónico, la mensajería instantánea y el teléfono.

Si quieren conocer como funciona la Ingeniería social en su máxima expresión, les recomiendo ver la película Takedown. En esta historia basada en hechos reales se muestra la forma en que Kevin Mitnick, uno de los Hackers más famosos de la historia, aplica de manera sorprendente varios de los métodos que describiré a continuación.

Phishing

El Phishing es uno de los métodos de ataque de Ingeniería social más utilizados. La forma más común de Phishing es la que emplea el correo electrónico para cometer fraude.

Un atacante que utiliza este método por lo general tiene en su poder un dominio de Internet que puede ser fácilmente confundido con la URL de un servicio legítimo y lo utiliza para tratar de convencer al usuario de ingresar sus datos con el fin de verificar su cuenta bancaria, Paypal e incluso una red social o servicio de mensajería instantánea, bajo la amenaza de suspenderla en caso de no suministrar los datos requeridos. Si un usuario ingresa sus credenciales, obviamente le está entregando su información al atacante, quién la utilizará para robar información e incluso dinero.

Por fortuna, el Phishing también es uno de los métodos más fáciles de detectar, en gran parte, gracias a los servicios de correo electrónico que filtran de forma rigurosa todos los mensajes que atraviesan sus servidores e identifican y marcan como sospechosos aquellos que provengan de fuentes no confiables.

Debemos tener presente que ningún servicio de Internet, incluyendo a los propios bancos, nos solicitará información financiera, contraseñas o números de tarjeta de crédito para verificar nuestra identidad o validar nuestra cuenta a través de correo electrónico.

Cada vez que necesites ingresar a los servicios de banca en línea, asegúrate de introducir manualmente la dirección en el navegador, es decir, evita utilizar enlaces que encuentres en otros sitios, incluso si se trata de un buscador. La mayoría de los bancos tienen servicios de atención telefónica para reportar el fraude, por lo que si sospechas que estás siendo víctima de uno de estos ataques, no dudes en llamar de forma inmediata para solicitar asistencia.

Vishing

En el Vishing, los métodos son similares a los descritos en el Phishing, de hecho su finalidad es exactamente la misma. La diferencia es que este utiliza una llamada telefónica en lugar de un correo electrónico o un sitio web falso.

Existen varias formas ataque bajo este método, las más comunes son:

• Una llamada a la victima utilizando un sistema automatizado, en la cual se solicita al usuario que siga una serie de pasos para reactivar su cuenta ya que “su tarjeta de crédito ha sido robada” y “se requiere de una acción inmediata”.

• Un correo electrónico con instrucciones para “activar su cuenta” donde se incluye un número de teléfono al que se debe llamar para completar el falso proceso de activación.

• Empleando la imitación de llamadas telefónicas interactivas del tipo “marque 1 para…” o “introduzca su número de tarjeta de crédito después de la señal…”.

Además de éstas, he conocido casos a través de familiares y amigos, en los cuales, mediante una llamada telefónica se realiza una encuesta o se ofrece algún paquete turístico. A lo largo de la conversación, el atacante va realizando una serie de preguntas cuyas respuestas implican datos privados.

Los atacantes que emplean este método suelen tener un gran poder de convencimiento y ser buenos conversadores, de esta manera logran mantener por el mayor tiempo posible a la víctima pegada al teléfono.

Ahora que conoces como funcionan, puedes sospechar de todas las llamadas de este tipo. En el caso de los bancos, estos nunca te pedirán datos vía telefónica (en todo caso te pedirán que te acerques hasta una de sus agencias). Tampoco Facebook, Google, Microsoft o cualquier compañía/servicio te llamará para pedirte información sobre tus contraseñas o tarjetas de crédito.

Baiting

Este método aprovecha una de las mayores debilidades -o virtudes- de los seres humanos: la curiosidad.

En el Baiting, un atacante abandona de forma intencional un dispositivo o medio de almacenamiento extraíble, como por ejemplo, una memoria USB o un CD/DVD. Dicho dispositivo estará infectado con software malicioso, que podría ser instalado en el ordenador, incluso sin que nos demos cuenta.

Contra este método, tener un antivirus actualizado podría ser efectivo, sin embargo, es necesario tener precaución a la hora de insertar dispositivos de dudosa procedencia en nuestros ordenadores. También es recomendable desactivar la función Autorun y no abrir archivos si no estamos seguros de su contenido.

Otros métodos

Además de los 3 que he mencionado, existen muchos otro métodos utilizados dentro de la Ingeniería social, todos ellos, como lo dije al principio, hacen uso del engaño y la confusión para llevarnos a la trampa, por lo que debemos estar alerta en todo momento, y sobre todo, hacer uso del sentido común.

Finalmente, y aunque parezca una recomendación obvia, procura no anotar tus contraseñas en lugares donde puedan ser fácilmente visibles o encontradas por otros, sobre todo si trabajas en un lugar donde entra y sale gente de manera constante. Dejar las tarjetas de crédito, estados de cuenta, u otro tipo de información financiera a la mano de cualquiera, tampoco es una buena idea.

Ahora que conoces como funciona la técnica y sabes como prevenir un fraude, es momento de compartir la información con tus familiares y amigos, de esta manera, ellos también podrán evitar caer en la trampa.

Imagen (CC): Stomchak

Varios usuarios comenzaron a protestar a través de Twitter y Facebook porque, de la noche a la mañana, encontraron decenas de pagos no autorizados de software, música y vídeos, representando gastos por miles de dólares. Por ejemplo, uno de ellos recibió un cargo por más de $ 7400, pero congeló la operación antes de que se transfirieran los fondos.

¿Qué ocurrió? Según los comentarios de la compañía, esta vez no fueron comprometidos los sistemas, sino que las sospechas apuntan a prácticas habituales de phishing. De esta manera, quienes hayan sufrido el robo de su contraseña de Paypal o iTunes, se convirtieron en víctimas de estas compras fraudulentas.

La solución, aparte del obvio reclamo ante la tienda, es ingresar al Centro de resoluciones que ofrece el sistema de pagos y registrar una queja. La compañía ya está al tanto del problema y anunció que devolverá los importes cobrados indebidamente.

Mientras tanto, para quienes no sufrimos este inconveniente, es un nuevo llamado al sentido común. El consejo obvio es cambiar cuanto antes las claves de ambos servicios, que sean seguras y no repetirlas en otros sitios. Además, cada vez que hagamos un pago, conviene comprobar los certificados de seguridad (el candado) y que iniciemos sesión dentro del dominio https://www.paypal.com.

Vía: AppleWeblog

El tema de las redes de clics fraudulentos no es algo nuevo, prácticamente desde que apareció en Internet el modelo publicitario “pay per click” también se empezó a desarrollar este tipo de fraude. El funcionamiento es muy simple, crean webs en las cuales añaden publicidad de algún servicio tipo AdSense que genera ingresos al dueño del sitio por los clics que reciban los anuncios. Posteriormente “los malos” empiezan a hacer clics fraudulentos.

Pues bien, la empresa Anchor Intelligence ha destapado un enorme “anillo de clics fraudulentos” de proporciones nunca antes vistas el cual bautizaron como DormRing1. Unas 200.000 direcciones IP formaban la red que acumuló más de 3 millones de dólares por clics fraudulentos en anuncios de 2.000 anunciantes durante un periodo de tan solo dos semanas. Y la representación de parte de toda esa infraestructura es lo que muestra la imagen que acompaña el post.

Da mucho miedo ver que pueden existir redes de clics fraudulentos de estas magnitudes ya que es algo muy perjudicial para toda la red. El modelo publicitario “pay per click” sustenta millones de negocios en la red y este tipo de fraude destrozar el mentado modelo publicitario. Esperemos que en el futuro se consigan técnicas más eficientes que las actuales para luchar contra este tipo de actos.

Vía: Econsultancy

A esto en principio no le di mucha importancia, ya que pensaba que sería mas bien culpa mía por no fijarme de donde lo estaba descargando, pero el caso es que también les ha pasado a compañeros como a David Gómez cuando descargó la suite ofimática gratuito OpenOffice e incluso a Miguel Ángel Moro cuando descargó el Adobe Acrobat Reader.

Por ello os recomendamos a todos los usuarios de Windows (los usuarios de Mac OS X y Linux no se ven afectados de momento) no pagar nunca con sms por programas gratuitos y tened mucho cuidado de que páginas web os descargáis las aplicaciones. Para hacer la tarea más fácil, os vamos a recomendar una lista de los programas gratuitos más usadas de Windows y donde descargarlos desde sus respectivas páginas oficiales, aún la estamos preparando (hay mucho software bueno y gratuito que poner), así que estad atentos a Bitelia ya que pronto estará publicada.

Vía: mmoroca’s junkyard & pUaTrOn

Imagen: mmoroca’s junkyard