Autor: MSc. Yolagny Díaz Bermúdez / yolagny.diaz@mtz.jovenclub.cu
Durante el pasado mes de diciembre y parte de enero una gran cantidad de usuarios de Facebook fueron víctimas de un ataque de ingeniería social. La efectividad del mismo dependió totalmente del conocimiento del usuario de Facebook sobre dicha materia, por lo que una vez más se regresará sobre este tema.
En este caso específico la carnada consistió en hacerle llegar un mensaje privado, desde un amigo de primer nivel, en el cual aseguraban que en determinado sitio aparecen fotos suyas, con el posible objetivo de conseguir los datos personales del usuario sin su consentimiento.
Mensajes de ejemplo:
«oye mira el perfil con las fotos tuyas que están publicando en este sitio http://dolsm.weebly.com»
«dime si ya viste el mensaje que te mande, y si te pudiste registrar y borrarlas. saludos»
De más está decir que al acceder a los sitios referidos en el mensaje, de inmediato se le estaría dando acceso a la información privada y control total de las cuentas.
Casos como estos responden a clásicos ataques de Ingeniería social, materia que no es para nada novedosa, es una antigua estafa que se manifiesta en todos los ámbitos de la vida, por lo que sería un error pensar que se trata de algo nuevo o que solo se ve en el mundo online.
«La Ingeniería Social basa su fundamento en la tendencia del ser humano a confiar y consiste en un conjunto de técnicas psicológicas y habilidades sociales utilizadas de forma consciente, y muchas veces premeditada, para la obtención de información de terceros.» Díaz, Y. (2011)
De forma general la misma tiene su base fundamental en la manipulación psicológica del individuo. Sea cual sea la vía utilizada, su objetivo fundamental es que el ser humano haga lo que se desea que haga.
Desde el punto de vista del crimen cibernético se describe como un método no técnico utilizado por los cibercriminales para obtener información, acceso ilegítimo o realizar fraudes en los equipos de las víctimas.
Lo más preocupante de los ataques de este tipo es que no hay una advertencia inmediata, no hay ninguna señal clara de que te están atacando o de que tu equipo fue infectado.
La mayor parte del tiempo, los cibercriminales llevan a cabo su ataque, obtienen los datos que buscan y luego desaparecen. Y si se trata de robo de datos, probablemente nunca seas consciente de la infección, y mucho menos si tus datos se están vendiendo ilegalmente en la Internet profunda.
La vía principal para evitar la efectividad de estos ataques es no pecar de ingenuos. Si no has publicado fotos privadas, o no has entrado jamás a un sitio es evidente que si te piden entrar a ese sitio para que lo soluciones, debe haber otro objetivo implícito en la solicitud.
De forma general se recomienda documentarse sobre la ingeniería social, pudiera comenzar por los artículos que se encuentran en la referencia bibliográfica, pues este tema es mucho más amplio que un simple ataque de «spear phishing».
Referencias bibliográficas
Díaz, Y. 2012. Apuntes sobre Internet profunda o invisible. Revista Tino, número 29. Recuperado en enero de 2017, de http://revista.jovenclub.cu/apuntes-sobre-internet-profunda-o-invisible/
Díaz, Y. 2011. La Ingeniería Social y los Hackers. Revista Tino. Número 26. (Tino 26.pdf)
weblivesecurity. 2016. 5 cosas sobre ingeniería social. Recuperado en enero 2017, de http://www.welivesecurity.com/la-es/2016/01/06/5-cosas-sobre-ingenieria-social/
Hoy es el día internacional de la Internet segura, estos ataques son reprochables y pueden tener la marcada intención de demostrar una supuesta doble moral.
Se puede verificar desde que dispositivo están abriendo tú perfil de Facebook, eso en próximos consejos.