5 Ataques comunes de Ingeniería social y ciber-ataques. ¿Cómo podemos evitarlos?

2020-06-11

En el artículo anterior de #StaySAFU, vimos 5 estafas comunes en las criptomonedas y aprendimos a cómo evitarlas. Pero no es únicamente el phishing de lo que debe estar al tanto.

El Phishing es uno de los muchísimos métodos que ejecutan los actores maliciosos para robar datos confidenciales o criptoactivos. 

Diferencias entre Ingeniería social y Hacking

Los ataques de ingeniería social se basan en la manipulación psicológica del objetivo, a tal punto de atraer a víctimas desconocidas para que divulguen información confidencial o firmen activos digitales.

La ingeniería social no realiza ataques directos a los sistemas de seguridad, hardware o los apartados tecnológicos. Se dirige directamente al eslabón más débil de la cadena: nosotros. A través del engaño y la manipulación, se engaña a la víctima para que entregue de manera voluntaria sus datos personales al atacante. 

Los Hackers, por otra parte apuntan a un elemento de seguridad completamente distinto. El hacking (o conocido en español como piratería) se enfoca en ataques directos al hardware, infraestructura o elementos de seguridad para encontrar o crear vulnerabilidades que puedan explotar. El objetivo de los involucrados es distinto. Las técnicas predominantes a día de hoy es obtener control sobre su dispositivo o sistema, e incluso robar credenciales para obtener un beneficio financiero. También existen casos donde el autor realiza un ataque con la única intención de lastimar a la víctima. 

Ahora echemos un vistazo a cinco de los ataques de ingeniería social y hacking más conocidos, y un error del que todos hemos sido culpables.

Rasomware

También conocido en español como "usurpación de datos", este software malicioso infecta su computadora y generalmente amenaza con eliminar sus datos, a menos que pague un soborno. Las circunstancias cambian según el tipo de rasomware con el que se está tratando. 

Scareware es el tipo de ataque más primitivo. Su ordenador o navegador interactúa con el script o software malicioso y muestra un mensaje de advertencia, intentando asustarte para que descargues un archivo, pagar por un producto o contactar con un equipo de soporte falso. Puede eliminar fácilmente los scareware con productos de ciberseguridad de alta caliad y de fácil acceso, sin dejar ningún daño a sus datos o dispositivos.

Un bloqueador de pantalla es otro tipo de ataque dentro del título rasomware, e incluso más peligroso que el scareware. Los bloqueadores de pantalla literalmente lo bloquean por completo en su dispositivo y le mostrarán un mensaje haciéndose pasar por una organización estatal o un grupo de prevención contra delitos. Casualmente, estos grupos están felices de desbloquear su dispositivo si les paga con criptomonedas. Sin embargo, pagar este soborno no libera automáticamente sus datos y en otras circunstancias es probable que sus datos desaparezcan de su alcance para siempre.

En el peor de los casos puede ser el rasomware encriptado. Aquí el atacante encripta sus datos y amenaza con eliminarlos o publicarlos si no paga el soborno. Los hackers detrás del famoso WannaCry el rasomware trajo una mala reputación a las criptomonedas, especialmente para Bitcoin, ya que las víctimas tuvieron que pagar el soborno por medio de Bitcoin. El grupo WannaCry recibió un total de 327 pagos por un total de 51.62 BTC. Esto equivale actualmente cerca de $500,000 USD al momento de escribir este artículo. 

Tanto los bloqueadores de pantalla como los ataques encriptados de rasomware son, en muchos casos, imposibles de remover una vez que toman el control de su dispositivo. La única solución es y será la prevención. 

Baiting

También conocido como el "cebo", es la actividad ejecutada por el atacante para atraer a la víctima con la promesa de una recompensa. El baiting ocurre tanto físicamente como en línea. En el ámbito físico, el cebo puede ser una memoria USB o una billetera hardware dejada en un lugar visible. Una vez que lo conectas a tu dispositivo, el software malicioso se apodera y ataca tu computadora. El baiting en línea generalmente se presenta en forma de anuncios y concursos que prometen algo muy bueno.

Si alguna vez encuentra una hardware wallet de Trezor con la etiqueta de "Ahorros de toda la vida en BTC, pertenece a CZ", probablemente no sea real. No utilice dispositivos que no sean suyos y manténgase atento a los anuncios y ofertas que aparecen en la internet que le prometen grandes ofertas o beneficios. 

Vishing

Una combinación entre palabras de voz y phishing, el vishing es uno de los ataques en sumo incremento, con nuevas variantes que aparecen día a día. Esta técnica no utiliza correo, llamadas telefónicas o mensajes, sino servicios telefónicos por internet (VoIP). El ataque se realiza por medio de una llamada con el fin de informarle de que su cuenta bancaria se encuentra bloqueada, que la hipoteca que solicitó fue preaprobada, está lista o que una organización benéfica está buscando su contribución. Los atacantes a menudo se hacen pasar por personas de confianza, como empleados bancarios, cobradores de deudas, atención al cliente e incluso organismos recaudadores de impuestos como el IRS. 

Puede desacreditar fácilmente el vishing llamando al número oficial de la organización en cuestión para saber si la persona que le llamó pertenece a dicha organización. Una muy buena iniciativa es, si le parece sospechoso, cuelgue la llamada y visite el sitio web de la organización y llame a ese número para salir de dudas.

El soporte de Binance nunca lo contactará por teléfono. Nunca comparta sus datos personales por teléfono porque no importa quién sea su proveedor o fabricante de teléfonos, ninguna llamada es completamente privada.

Pretexting

El atacante tiene como objetivo obtener su información privada a través de una secuencia de mentiras. En el pretexting, a menudo el atacante se hace pasar por alguien que conocemos o confiamos en la autoridad, como es el caso de la policía o los funcionarios bancarios. El pretexter utilizará el sentido de urgencia para obtener su información privada o solicitarle que realice tareas en específico. 

Los objetivos más comunes del pretexting son los números de seguro social, los detalles de su tarjeta, las direcciones personales, los números de teléfono, las frases de restauración e incluso Bitcoins. Para evitar ser una víctima más, aplique las mismas reglas que lo haría en un caso de Vishing: siempre verifique que está hablando con una persona real iniciando una conversación por otro medio distinto al actual. 

Bait y Switch

Los terrenos de cacería para los atacantes de bait y switch buscan los entornos confiables de sitios web y motores de búsqueda. Los dominios maliciosos se muestran como resultados regulares, a veces patrocinados, entre muchos resultados legítimos en su búsqueda principal. Con técnicas avanzadas de SEO y publicidad pagada, el bait se hace pasar por un sitio web oficial y sube en las clasificatorias/ranking de los motores de búsqueda. Una vez que haces clic en el resultado, creyendo que es legítimo, serás llevado al sitio web del atacante.

Para evitar este ataque, debe ser proactivo. Evite visitar sitios web con nombres inusuales o que contengan errores tipográficos. No crea en aquellos anuncios que le prometen resultados poco realistas. Utilice el sentido común y no haga clic automáticamente en algo que le llame su atención. 

BONO: Reciclaje de credenciales

Aunque este no es un ataque como tal, es una vulnerabilidad que vale la pena mencionar ya que los atacantes explotan regularmente esta modalidad. El reciclaje de información para iniciar sesión es algo de lo que todos hemos sido culpables en el pasado. Todos hemos reutilizado el mismo nombre de usuario y contraseña en múltiples servicios. Una vez que el atacante roba sus datos de una plataforma, todas sus otras cuentas serán expuestas y estarán en riesgo, si no está usando credenciales únicas en cada una. 

Dejemos de reutilizar los mismos datos. Hay una gran selección de administradores de contraseñas que son de código abierto y gratuitos que a su vez son seguros y están a disposición para usted, los cuales generan contraseñas aleatorias, seguras y únicas para cada sitio que utiliza. 

Conclusión

Es importante tener en consideración que no todo el hacking es con malas intenciones. Cypherpunks, testers, hackers de sombrero blanco y muchos más están ayudando tanto a las personas como a las empresas con la intención de mantener a salvo la era digital. El escenario de las criptomonedas se encuentra llena de múltiples empresas de criptos y Bitcoin, individuales y profesionales en la seguridad que crean un futuro más seguro para todos nosotros. 

Creemos que solo podemos ser tan fuertes como el eslabón más débil. Cada individuo necesita aprender cómo debe cuidar su seguridad y mantener la responsabilidad total de sus datos privados y sus riquezas. Como en todas las modalidades de ataque, su mejor defensa es el sentido común y la conciencia. 

Mejoremos juntos nuestra seguridad digital. ¡Comparte nuestra campaña #StaySAFU con tus amigos y colegas! 

No te pierdas ninguno de los próximos artículos de #StaySAFU:

Disponible ahora mismo: #StaySAFU con la campaña de seguridad de Binance

Disponible ahora: 8 Estadísticas sorprendentes sobre el Cripto-Phishing

Disponible ahora:  5 Estafas comunes de Criptomonedas y ¿Cómo podemos evitarlos?

Disponible ahora: 5 Ataques comunes de Ingeniería social y ciber-ataques y ¿Cómo podemos evitarlos?

Próximamente, 12 de Junio: Mantenga segura su cuenta de Binance con tan solo 7 sencillos pasos

Próximamente, 15 de Junio: #StaySAFU con los mejores consejos de seguridad proveniente de profesionales

Próximamente, 17 de Junio: ¿Cómo mantener seguro sus criptomonedas?

Próximamente, 17 de Junio: Únase a la competencia #StaySAFU y participa por premios de hasta $500 en BNB

Si aún no lo ha hecho, asegúrese de seguir Binance y a Binance Academy en Twitter para mantenerse al tanto de los últimos acontecimientos de la campaña.