Robo de datos en Internet: evitar ataques combinados

El cóctel mortal incluye ingeniería social para sonsacar los datos sensibles y desembarco por la puerta grande para manipular en remoto. Si queremos aumentar los niveles de seguridad pasiva, será bueno seguir estos consejos de G Dat

Robo de datos en Internet: evitar ataques combinados

17 mayo 2009

LA OPINIÓN DEL EXPERTO

Un tipo de fraude relativamente nuevo se está haciendo cada vez más fuerte en Internet. El robo de la identidad de una única persona o de un número mayor de ellas puede causar un enorme daño tanto al propio usuario como a las compañías, tanto económicamente como en términos de reputación.

Existen principalmente dos tipos de ataque que se producen a menudo en combinación. Un aspecto que abarcaremos en los ataques combinados es lo que llamamos la ingeniería social, mientras que el otro resulta más técnico. Echémosle un vistazo a la ingeniería social.

El término “ingeniería social” se define como “el arte de manipular a la gente para que lleve a cabo acciones o divulgue información confidencial”. En la mayoría de los casos, la ingeniería social requiere de una técnica denominada “pretexting”, que consiste en la creación de un escenario particular (pretexto) utilizado para persuadir a la víctima para revelar información o llevar a cabo una acción.

Por ejemplo, esto puede hacerse a través del teléfono, llamando a la víctima y haciéndose pasar por un colaborador, un oficial de policía, la compañía eléctrica o un empleado del servicio de atención al cliente. Al convencer a la víctima de que el que está al otro lado del teléfono es quien dice ser, en muchos casos resulta extremadamente fácil obtener los datos personales de la víctima o de su empresa. En dicho caso, la víctima revelará bajo su propia voluntad datos que normalmente guarda en secreto, como credenciales de acceso, números de tarjetas de crédito o cualquier otro tipo de información sensible.

En otros escenarios, el componente de ingeniería social puede actuar como “puerta de entrada” a un ataque combinado y preparar el camino para el siguiente paso, de carácter técnico. Por ejemplo, el atacante puede decirle a la víctima que es necesario instalar un parche de seguridad urgentemente en su sistema, y que dicho parche le será enviado por correo electrónico.

A menudo, otros trucos psicológicos se utilizan para intimidar y convencer a la víctima de que hay que llevar a cabo una acción concreta a cualquier coste. Cuando se le convence y accede a hacer lo que el atacante sugiere, el segundo paso del ataque combinado viene a continuación.

El ataque técnico representa el segundo paso en un ataque combinado de robo de identidad. Aquí entra en juego el uso de software malicioso que se instala en el sistema de la víctima. En muchos casos, este software se camufla como parches, actualizaciones necesarias o generalmente software legítimo a priori que necesita ser instalado con urgencia. También pueden hacerse pasar por facturas, avisos de entrega o cualquier cosa que haga que el receptor crea que su contenido es real y, por ende, necesite abrirse.

En realidad, el software tiene un objetivo malicioso: robar los datos personales. Esto puede hacerse al interceptar las pulsaciones de teclado o el tráfico de la red del sistema escogido, o escaneando de forma activa los datos que pretenden interceptarse. Este tipo de software se considera spyware. Sin el conocimiento o el consentimiento de la víctima, los datos almacenados o introducidos en el sistema se recopilan y se envían al atacante.

Conclusión: los usuarios deberían extremar las precauciones cuando alguien les contacte y les pregunte por datos personales o de su empresa. Si existe el menor atisbo de duda, no deje que el interlocutor le intimide. Si se siente inseguro, consulte a un experto antes de llevar a cabo cualquier acción por sí mismo. No revele ninguna información sensible si siente que la llamada le coacciona.

Antes de abrir cualquier archivo que afirme constituir una importante actualización de seguridad o del sistema, escanee dicho archivo con un antivirus actualizado. Haga caso a su sentido común y, en caso de duda, mejor no actúe de la forma en la que le diga su interlocutor.

Por Jorge de Miguel, responsable de G DATA Iberia

Loading...