¡Hola, malditas y malditos! Bienvenidos al 17º consultorio de Maldito Timo. Este mes de octubre hemos estado de celebración: es el Mes Europeo de la Ciberseguridad y, este año, la campaña se ha centrado en advertir sobre la ingeniería social. El término engloba al conjunto de técnicas que utilizan los ciberdelincuentes para que terminemos facilitando nuestros datos personales, y que vamos a repasar en este consultorio. ¿Alguna vez te has fijado en que las páginas web de phishing suelen incluir comentarios positivos… que en realidad son falsos? Te contamos por qué. Por último, explicamos cómo funciona el spoofing telefónico, una táctica con la que los timadores consiguen falsificar el número del remitente en una llamada telefónica.
Recuerda que puedes mandarnos cualquier duda sobre ciberestafas a nuestro ‘buzón de timos’ ([email protected]), a nuestros perfiles de Twitter y Facebook o a nuestro chatbot de WhatsApp (+34 644 229 319). ¡Vamos al lío!
Qué es la ingeniería social y qué técnicas existen
La ingeniería social reúne un conjunto de técnicas que utilizan los ciberdelincuentes “para conseguir que nosotros realicemos una acción que juegue en nuestra contra o en contra de la seguridad de nuestros dispositivos”, explicó Josep Albors, responsable de Investigación y Concienciación de ESET España, en la Maldita Twitchería que organizamos por el Mes Europeo de la Ciberseguridad. Según el experto, todos hemos visto alguna vez un ejemplo de ingeniería social: “Al abrir el email podemos encontrar muchos engaños en forma de correos electrónicos, en los que se hacen pasar por empresas, organismos públicos e incluso por servicios que utilizamos todos los días”. A esta técnica se la conoce como phishing y el objetivo es que seamos nosotros mismos, los usuarios, quienes acabemos facilitando nuestros datos personales o bancarios.
La Oficina de Seguridad del Internauta (OSI) del Instituto Nacional de Ciberseguridad (INCIBE) señala otras tácticas de ingeniería social que usan los timadores, como son el smishing (suplantación de empresas o entidades a través de SMS) o el vishing (suplantación a través de llamada telefónica). Estas técnicas, que se usan para obtener información personal como contraseñas o números de tarjetas bancarias, suelen apelar “a las emociones de las víctimas para conseguir su objetivo”, apunta la OSI.
También hablamos de ingeniería social cuando advertimos de estafas con alquileres y reservas online de alojamientos, en las que una empresa ficticia o persona finge ser dueña de una propiedad para que las víctimas realicen un pago por adelantado. Otros métodos son las falsas ofertas de empleo o las plataformas de inversiones falsas, las cuales “utilizan técnicas de persuasión para convencer a las personas de invertir su dinero en ellas”, como explica la OSI. En general, una técnica de ingeniería social es cualquiera que se base en la manipulación para conseguir que la víctima realice una acción sin darse cuenta de que está siendo engañada. Como apunta Susana Regalado Cristóbal, experta en ciberseguridad y maldita que nos ha prestado sus superpoderes, el objetivo es que los usuarios proporcionen sus datos “de forma voluntaria”.
Además, según indica la OSI, en ocasiones los ciberdelincuentes preparan con antelación sus ataques de ingeniería social. El primer paso es la investigación sobre la víctima, recabando información que está disponible, por ejemplo, en sus redes sociales. El segundo paso es el “gancho”, el timador elabora una historia para engañar a la víctima y ganarse su confianza —algo que vemos, por ejemplo, en los timos amorosos—. Por último, llega la fase de ejecución: el ciberdelincuente intenta manipular a la víctima para que “le facilite la información que necesita o realice los pasos que se le indican”, según la OSI.
Para protegernos de este tipo de ataques, la Agencia de Ciberseguridad de la Unión Europea (ENISA) recomienda desconfiar de las solicitudes inesperadas de información, de los mensajes de urgencia que pretenden presionarte para que hagas algo y de las ofertas demasiado buenas para ser ciertas.
Por qué los ataques de ingeniería social suelen incluir falsos comentarios positivos de otros usuarios
Los ataques de phishing, cuando se alojan en una red social o una página web fraudulenta, suelen incluir comentarios positivos de perfiles falsos. Por ejemplo, en Maldita.es os hemos advertido de una falsa promoción de una tarjeta de transporte de Metro de Madrid que circula por Facebook. La publicación que se difunde cuenta con una serie de comentarios de supuestos usuarios que ya han conseguido su tarjeta por tan sólo dos euros.
“Me arriesgué y hoy entregaron la tarjeta. La probaré mañana”, afirma un supuesto usuario de la red social. Sin embargo, si entramos en su perfil, encontramos algunas señales sospechosas que indican que podría tratarse de una cuenta falsa: sólo tiene algunas fotos publicadas y todas el mismo día (26 de julio); sólo sigue a tres páginas de Facebook que, además, son páginas falsas que suplantan a otras marcas y el perfil no ofrece más información sobre el supuesto usuario. La foto de la tarjeta que acompaña al comentario es un montaje a partir de una imagen publicada por la Cadena SER:
¿Por qué los timadores incluyen este tipo de comentarios falsos cuando intentan engañarnos? Josep Albors, responsable de Investigación y Concienciación de ESET España, explicó en la Maldita Twitchería Tecnológica que este tipo de comentarios “lo que hacen es reafirmar a la posible víctima que está en un sitio legítimo”.
Guadalupe Sierra, responsable de concienciación y conductas seguras de cliente en el departamento de ciberseguridad en BBVA, explica a Maldita.es que, en el caso anterior, se pone en marcha el sesgo de norma social, que es cuando tomamos nuestras decisiones “en base a lo que opinan personas que pueden tener intereses o situaciones similares”. Otro detalle que recalca Sierra es la respuesta del supuesto community manager de la página a algunos comentarios, con el objetivo de hacer el timo más creíble.
“Otra palanca que usan es el elemento de la promoción y oferta (en época de inflación y subida de precios). Y la evaluación del riesgo que percibe la persona (perder dos euros) frente al posible beneficio (el año de viajes gratis) puede jugar a favor de que la gente haga clic”, afirma Sierra.
Según apunta la experta, los ciberdelincuentes están sofisticando mucho sus ataques: “El mensaje mal redactado del príncipe del continente africano son ya cosa del pasado, ahora se montan verdaderos casos complejos de engaño que le dan más credibilidad”. Para evitar este tipo de engaños, Sierra recomienda revisar bien la URL a la que nos dirigen al pinchar en el enlace y comprobar en la web oficial de la empresa o entidad si la promoción existe o no.
Qué es y cómo funciona el 'spoofing' telefónico
El vishing es un ataque de ingeniería social que consiste en que los timadores suplantan la identidad de una empresa u organización (por ejemplo, un banco) en una llamada telefónica. Pero los ciberdelincuentes pueden ir un paso más allá y falsificar el número de teléfono del remitente durante la llamada para que parezca provenir de una empresa o persona de confianza, según explica el Instituto Nacional de Ciberseguridad (INCIBE).
A través de nuestro ‘buzón de timos’ ([email protected]), muchos lectores que han sido víctimas de vishing nos han advertido de que el número que les aparecía durante la llamada fraudulenta era el teléfono real de la entidad que los ciberdelincuentes estaban suplantando. “Me han quitado todo mi dinero del banco haciéndose pasar por La Caixa y comprobé yo misma que era un número de CaixaBank”, nos asegura una lectora que fue víctima de este fraude. A esta técnica se la conoce como caller ID spoofing o spoofing telefónico.
Miguel Calvo, investigador y profesor en Ciberseguridad y Privacidad de la Universidad Rey Juan Carlos y maldito que nos ha prestado sus superpoderes, indica que para suplantar números de teléfono es habitual que se utilice la tecnología VoIP (Voz sobre Protocolo de Internet), para modificar el número mostrado durante la llamada. Y añade: “De hecho, son muchos los proveedores de VoIP que ofrecen este 'añadido' para dar valor a su servicio frente a la competencia. Incluso hay 'empresas' que el único servicio que ofrecen es ese, suplantación de identidad en las llamadas”.
Jorge García, ingeniero en telecomunicaciones y maldito, explica que las llamadas basadas en VoIP utilizan “protocolos de señalización o control que identifican a las partes implicadas” (el remitente y el receptor). El problema surge cuando uno de los extremos, “normalmente el originante de la comunicación, consigue incluir una identidad falsa en los paquetes de control” y, a su vez, que “los sistemas de los operadores no detecten el cambio”. De esta forma, el receptor recibe una llamada de un número diferente al que en realidad es.
En esta misma línea, Alberto Pubill, gerente de una consultoría informática y también maldito, señala: “Si yo consigo interceptar los ‘datos’ que contienen el número de teléfono de origen y cambiarlos a mi gusto, sólo tengo que saber qué poner en su lugar. Miro cual es el número de cabecera que utiliza un banco para llamar a sus clientes y el móvil de destino comparará ese número con su agenda y le dirá al receptor que lo llaman de su banco”.
Pero, ¿cómo podemos protegernos de estas llamadas? Según el INCIBE, debemos sospechar si la persona que nos llama nos solicita información confidencial (como contraseñas o datos bancarios) y nos habla con un tono de urgencia para que actuemos rápidamente, sin pararnos a pensar.
El Banco de España asegura en este artículo que existen aplicaciones que te permiten conocer la identidad real del que te llama. En cualquier caso, recuerda que desde el banco “nunca te pedirán que les facilites contraseñas o claves completas”. El organismo también aconseja comprobar que lo que te dicen es verdad: “Si te llaman diciéndote que se ha hecho una operación fraudulenta, accede a tu posición y verifica que es cierto. O si no te cuadra lo que te dicen, cuelgas y les llamas tú”.
La entidad explica que, si no has realizado una operación, “no tiene sentido que te llegue una clave temporal y mucho menos que el banco sea quien te la solicite verbalmente por teléfono”. Además, aclaran que el banco no necesita ningún código para anular esa supuesta operación fraudulenta. En resumen: si no has solicitado nada y te llaman pidiéndote información, sospecha, cuelga y llama tú al número oficial de tu banco, tu gestor o la empresa que supuestamente te ha llamado para confirmar.
Y para terminar…
Antes de finalizar, os recordamos que si habéis sido víctima de un fraude el primer paso es acudir a las autoridades. Y, aunque en Maldito Timo no somos técnicos ni expertos en ciberseguridad, sí contamos con la ayuda de muchos profesionales que están dispuestos a echarnos una mano para resolver vuestras dudas y así aprender juntos a defendernos ante los riesgos en internet. Si tienes cualquier duda sobre ciberestafas, puedes hacérnosla llegar a través de nuestro ‘buzón de timos’. ¡Juntos y juntas es mucho más difícil que nos la cuelen!
En este artículo han colaborado con sus superpoderes Susana Regalado Cristóbal, experta en ciberseguridad; Miguel Calvo, investigador y profesor en Ciberseguridad y Privacidad de la Universidad Rey Juan Carlos; Jorge García, ingeniero en telecomunicaciones, y Alberto Pubill, gerente de una consultoría informática.
Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de Whatsapp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.
Maldito Timo cuenta con el apoyo de:
Primera fecha de publicación de este artículo: 31/10/0223
