Con alguna frecuencia nos enteramos de alguna noticia acerca de fraudes o robos en los que el autor del desfalco ha utilizado los medios digitales y las comunicaciones que la red nos permite hoy en día.
Al igual que en la vida normal, la que ocurre fuera de la red, también en el ciberespacio existen los malos ciudadanos, los deshonestos y los traviesos. Sin embargo, la novedad del medio hace que en muchas ocasiones no tomemos algunas precauciones y cuidados mínimos para reducir las posibilidades de ser víctimas de algún tipo de acción dañina.
Valiéndose muchas veces de la ingenuidad de los usuarios menos experimentados, un cibercriminal puede obtener información valiosa sobre nuestras tarjetas de crédito, contraseñas, números de cuenta, y otras piezas de información que no debería circular tan libremente. Existen varios puntos y formas de ataque dentro de la red, y es importante que se conozcan la mayoría de ellos, ya que en muchos casos, cada uno de nosotros puede hacer mucho para evitar estas actividades, que en muchos países ya se hallan tipificadas como ilícitas.
Ingeniería social: engañando al usuario
Es interesante que se reconozca que las personas somos la pieza más susceptible y vulnerable dentro de un sistema de seguridad informática, al grado que se ha creado un nombre especial para la disciplina que logra romper los esquemas de seguridad por medio del engaño o la manipulación de los seres humanos.
De acuerdo a Wikipedia, la ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Es una técnica que pueden usar ciertas personas, tales como investigadores privados, criminales, o delincuentes computacionales, para obtener información, acceso o privilegios en sistemas de información que les permitan realizar algún acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos.
El principio que sustenta la ingeniería social es el que en cualquier sistema «los usuarios son el eslabón débil». En la práctica, un ingeniero social usará comúnmente el teléfono o Internet para engañar a la gente, fingiendo ser, por ejemplo, un empleado de algún banco o alguna otra empresa, un compañero de trabajo, un técnico o un cliente. Vía Internet o la web se usa, adicionalmente, el envío de solicitudes de renovación de permisos de acceso a páginas web o memos falsos que solicitan respuestas e incluso las famosas «cadenas», llevando así a revelar información sensible, o a violar las políticas de seguridad típicas. Con este método, los ingenieros sociales aprovechan la tendencia natural de la gente a reaccionar de manera predecible en ciertas situaciones, -por ejemplo proporcionando detalles financieros a un aparente funcionario de un banco- en lugar de tener que encontrar agujeros de seguridad en los sistemas informáticos.
Algunas de las prácticas y tácticas comunes de la ingeniería social son:
Phishing
Enviar un mensaje falso de correo electrónico que parece provenir de un banco, en el que tenemos o no una cuenta bancaria, y nos solicitan los datos de la cuenta o de la tarjeta de débito o de crédito que mantenemos con ese banco, con el pretexto de actualizar la información, participar en una campaña, o cualquier otra excusa. Muchas veces, dentro del mismo mensaje, hay un vínculo web que, al seleccionarlo, nos puede llevar a una página web que luce como la página real del banco.
Los bancos e instituciones financieras saben de este timo, y no envían estos mensajes, por lo que por regla general, hay que hacer caso omiso de cualquier mensaje en el que se solicite contraseñas, números de cuenta o de tarjetas de crédito, etc.
Engaño telefónico
Podemos recibir llamadas telefónicas en las que alguien se hace pasar por un ejecutivo de un banco o de otra institución, solicitando información confidencial. Lo mejor es negar brindar cualquier tipo de información sensible por teléfono. Si fuera muy necesario intercambiar alguna información, se puede solicitar el teléfono principal de la institución que llama, el nombre y el departamento de la persona que llama, para corresponderle posteriormente.
Engaño para ejecución de un programa
Puede ser que recibamos en nuestros mensajes de correo o en una aplicación de mensajería instantánea, por parte de un desconocido, algún archivo que debe ser ejecutado. El archivo puede venir en forma de presentación, fotografía, video, documento, etc., y al ejecutarlo en nuestra computadora, probablemente ejecute un instalador de un “troyano” o puerta trasera que, en algún momento, pueda darle el control de nuestra máquina a una persona extraña, lejos de nuestras instalaciones, pero que podrá extraer información personal importante.
Lo recomendable es nunca ejecutar archivos que no haya solicitado, y en muchos casos, ser cuidadosos aunque la fuente o la persona que lo está enviando sea alguien conocido. En este caso, puede buscar una confirmación por parte de quien se supone está enviando el archivo, antes de abrirlo.
Engaño por navegación por Internet
En este caso, es necesario acceder a un sitio web para que, a veces de forma automática, se instalen programas “troyanos”, “spyware” o “malware”. Esto ocurre por una configuración no tan segura del navegador, pero también por navegar en sitios web de dudosa procedencia.
Nunca se debe aceptar la instalación automática de estos programas que se descargan de Internet, a menos que estemos seguros de la validez de la fuente.
Acceso a la computadora en forma local o remota
Además de aprovechar la ingenuidad de los usuarios, también es posible que se den ataques directos a los computadores, ya sea en forma local o remota.
Acceso directo a la computadora
Si un atacante tiene acceso físico a una computadora, puede agregar dispositivos físicos o pequeños programas que registran la secuencia de teclas que se introducen. Estos son llamados “key loggers” o grabadores de teclas, que posteriormente, cuando el potencial criminal lo retoma, puede repetir la secuencia de teclas, identificando números de cuenta, palabras clave, números pin, nombres de usuario, etc.
No se debe usar nunca una computadora pública o poco confiable para conectarse a bancos u otras instituciones en las que debemos introducir información confidencial o sensible. Si nuestra computadora es accesible a más personas, siempre será recomendable que el descanso de pantalla entre en acción a los pocos minutos y que solicite una contraseña.
Acceso remoto a la computadora
Aprovechando el acceso a través de la red local, el mismo que a nosotros nos sirve para comunicarnos con el resto del mundo, un atacante puede intentar ingresar en nuestra máquina sin nuestro conocimiento y sin nuestra autorización, y obtener información, archivos, documentos y otros datos relevantes.
Es conveniente instalar en nuestras computadoras un programa firewall, rompefuegos o pared de fuego, de carácter personal. También es importante mantener al día los parches del sistema operativo y de otros programas que tenemos instalados, para reducir los agujeros de seguridad.
Interceptando la comunicación en la red local
Puede ser que los paquetes de información que usted envía al sitio web del banco sean interceptados por dispositivos sofisticados colocados de esta forma por atacantes, probablemente organizados en bandas, y con altos conocimientos técnicos.
Si bien esta forma de ataque no es tan común, por el nivel de conocimiento técnico que requiere por parte de los atacantes, también es importante conocer los niveles de protección y seguridad que mantiene en su red local el equipo de seguridad informática de su empresa o institución, así como la seguridad provista por su proveedor de Internet.
En todos los casos, hay que mantenerse alertas, y ante una situación anómala, como mensajes inesperados, errores inusuales, comunicaciones fallidas, y otros, guardar cierta prudencia.
En este caso, también es importante recordar siempre que cuando se vaya a acceder a una institución bancaria o con la que probablemente realizaremos transacciones sensibles, lo hagamos a través de redes privadas seguras, como la de nuestra oficina y nuestra casa, y de preferencia a través de redes físicamente cableadas. Las redes inalámbricas, si bien representan una gran comodidad, si no nos consta que están configuradas en forma segura, pueden permitir el acceso a muchas personas, y entre ellas pueden estar incluidas algunas con intenciones deshonestas.