Nuevas formas de ciberataques mediante Ingeniería Social
Diversas formas de Phishing
En esta entrada os hablamos de una de las amenazas de ciberseguridad más recientes y peligrosas que circulan entre nosotros.
En alguna ocasión ya hemos hablado en este blog de las técnicas de ataque por Phishing. A diferencia de otros tipos de amenazas, el phishing no requiere conocimientos técnicos avanzados sino que se basa en la ingeniería social. El atacante no intenta explotar la vulnerabilidad del sistema informático, si no engañar al propio usuario.
Hay distintos tipos de phishing, siendo uno de los más extendidos el que se realiza a través del correo electrónico, consistente en el envío de mensajes fraudulentos con apariencia verídica, buscando engañar al receptor y haciéndole pensar que se trata de remitentes de confianza.
Sin embargo, este tipo de amenazas tiene múltiples variantes, y una de las más recientes es la conocida con el término Smishing, que surge de la combinación de los términos SMS y phishing.
El smishing es una técnica de ingeniera social por la cual los cibercriminales atacan de forma masiva y dirigida a muchos usuarios mediante el envío de un SMS simulando ser un destinatario legítimo como un banco, una red social, una institución pública o una aplicación de uso extendido. El objetivo de estos ataques es robar información privada o realizar cargos económicos en las cuentas de la víctima, instando al usuario a acceder a un enlace web falso o a introducir sus credenciales para confirmar su cuenta.
Los ataques por Smishing han aumentado en los últimos meses
Nuestras recomendaciones
Este tipo de ciberataques son especialmente peligrosos dependiendo del tipo de usuario que lo reciba, ya que en muchos casos, la falta de costumbre o prevención de algunos usuarios los hace extremadamente sensibles a este tipo de engaños.
Además, debemos tener en cuenta que, aunque los ataques de phishing o spam son muy habituales en los correos electrónicos, los SMS continúan siendo considerados por los usuarios como envíos legítimos, ya que suelen ser utilizados para comunicación personal, notificaciones del banco, líneas áreas o códigos de un solo uso para validar operaciones o accesos. Es por este motivo por el que los ciberdelincuentes los están incorporando a su repertorio de técnicas de ataque para acceder a los datos de los usuarios.
Recientemente se han detectado distintos ejemplos de este tipo de ataques, que simulan proceder de entidades bancarias o sistemas de mensajería instantánea. En ellos se solicita que el usuario responda con un código que acaba de recibir para la verificación de una cuenta privada, lo que sirve a los ciberdelincuentes para poder acceder a sus datos.
Entre las recomendaciones para evitar esta nueva tipología de ataques tenemos:
- Desconfiar siempre del remitente, ya que en un SMS este campo es fácilmente editable.
- Sospechar siempre de cualquier acción que no hayamos solicitado.
- No fiarse de los mensajes alarmantes, que nos apremian a realizar alguna acción de manera inmediata.
- Proteger nuestros dispositivos móviles mediante algún sistema de protección antivirus o antimalware, control de navegación, etc.
Es cierto que desde hace años estamos viviendo un cambio de paradigma en el uso de los dispositivos móviles por parte de todos los usuarios, que acceden a cuentas bancarias, aplicaciones empresariales o plataformas de ocio, entre otros.
Además, el nuevo escenario provocado por el Covid-19 ha aumentado el tiempo durante el que permanecemos conectados a la red, y ha alterado nuestra forma de trabajar, incluyendo en muchos casos el teletrabajo.
Estas circunstancias nos hacen más vulnerables frente a los posibles ataques que podemos recibir a través de sistemas como el email o el SMS.
Dotar a las empresas y profesionales de las herramientas y procedimientos que faciliten la detección es muy importante para combatir estas amenazas.
Desde GETIC estamos siempre atentos a las nuevas amenazas de phishing que aparecen y llevamos a cabo una formación continua en esta materia, lo cual consideramos esencial para trasladar a los clientes la mayor tranquilidad y seguridad en un mundo tan digitalizado.