Desde la Oficina de Seguridad del Internauta, OSI, perteneciente al INCIBE (Instituto Nacional de Ciberseguridad) referencian un informe llevado a cabo por el departamento de seguridad de IBM, el X-Force Threat Intelligence Index, en el que se estudiaron las causas de diferentes incidentes de seguridad perpetrados entre el 2015 y el 2018, concluyendo que el 95% de estos ciberataques alcanzaron el éxito a causa de algún tipo de error humano, sin el cual, se podrían haber frustrado.
Por ello, la mejor protección es la formación en la materia a los trabajadores, para que puedan identificar los engaños y evitar caer en ellos. La finalidad de estos engaños es obtener información confidencial, acceso a determinados sistemas de información o incluso credenciales a través de la manipulación de los trabajadores con los que interactúan. Las técnicas más utilizadas son las siguientes:
4Phishing: se trata del tipo más común. El atacante recrea un sitio web conocido y con el que la víctima se sienta confiada, como la interfaz de un banco. A través de un enlace a dicha web plagiada, el usuario pone en compromiso su información personal e incluso su información bancaria, al introducir sus contraseñas y usuario.
4Vishing: consiste en el uso del Protocolo Voz sobre IP (VOIP) para suplantar la identidad del afectado recreando una voz automatizada (utiliza una llamada de teléfono, en lugar de un mensaje de texto).
Baiting: también conocido como “cebo” se sirve, por ejemplo, de unidades USB infectadas que dejan repartidos en lugares públicos con la esperanza de que algún usuario los conecte en sus dispositivos.
4Smishing: se realiza a través de mensajes SMS para recrear comunicaciones con el usuario aparentemente legítimas para obtener sus datos personales.
4Redes sociales: con el auge de las redes sociales, los ciberdelincuentes han visto en ellas un entorno donde obtener gran cantidad de información que nosotros, los usuarios, compartimos unos con otros. Suelen emplear anuncios y páginas de fans con oportunidades únicas que envían a los internautas a webs maliciosas.
4La estafa nigeriana: esta estafa se hizo muy famosa debido a lo rápido que se extendió por todo el mundo y en diferentes idiomas. Su premisa es sencilla, promete a su víctima una gran fortuna procedente de una herencia, un concurso o una donación. La única condición que impone es que el usuario realice un pago por adelanto para hacer frente a tasas, impuestos y a la gestión y así corroborar sus datos bancarios. A lo largo de los años, aparecieron numerosas variaciones del engaño original.
4Noticias y campañas falsas: ¿Quién no ha escuchado hablar de las peticiones para evitar que WhatsApp se vuelva de pago?, ¿o para que Facebook incluyese el botón de “No me gusta”? Este tipo de peticiones solían ir acompañadas de un enlace para participar en la votación que redirigía al usuario a un sitio web infectado o te invitaban a descargarte la versión gratuita, que en realidad se trataba de un archivo malicioso.
Como decíamos, la formación es la mejor protección y, sin con la misma, conseguimos evitar el 95% de los ciberataques, su amortización está asegurada. Además, contar con una formación programada, calendarizada y actualizada, responde a uno de los principios rectores de la normativa en protección de datos, tanto RGPD como LOPDGDD, la privacidad desde el diseño y por defecto.
