La historia del campesinito atemorizado que pide ayuda para cambiar un cheque porque se le quedó la cédula en la casa está muy lejos de ser cosa del pasado. Los timadores están a la vuelta de la esquina y no necesitan ser expertos ingenieros, para inducirlo a engaño a través de su computadora o teléfono móvil.
OUCH!, boletín de seguridad preventiva para usuarios de computadoras del Instituto SANS, advierte que una de las maneras utilizadas por los ciberdelincuentes para robar información es usando las palabras, el simple timo, del que no ha escapado la humanidad a lo largo de su historia. Nada más que ahora, el timador no espera a la salida del banco; utiliza las herramientas tecnológicas.
A esta actualizada modalidad de timo se le conoce como “ingeniería social”. OUCH! propone, como ejemplo, una llamada de alguien que se identifica como experto de una empresa de soporte de equipos de cómputo, para prevenirlo de que ha notado que su computadora está enviando correos basura o ha estado haciendo escaneos en internet, debido a que está infectada.
El intruso le ofrece ayuda y, con palabras y todo un ABC de términos técnicos, lo convence de que la computadora está mal. Le solicita encontrar ciertos archivos (que pueden ser documentos del sistema), para convencerlo de que ¡la computadora, efectivamente, está infectada! Luego lo presiona para que vaya a un sitio web y adquiera un “software de seguridad” y listo: si la computadora no estaba infectada, ahora sí lo está.
OUCH! advierte que los ataques de ingeniería social no se limitan a llamadas telefónicas. Los delincuentes pueden utilizar casi cualquier tecnología, incluyendo ataques de phishing por correo electrónico, mensajes de texto, chats y publicaciones en las redes sociales, entre otras.
Como siempre, la herramienta más eficaz para evitar los ciberataques es el sentido común. Hay que poner atención; observar si aparece algo sospechoso o parece que la computadora no está funcionando bien. En el artículo destacan algunos indicadores comunes de la ingeniería social:
- Alguien que presiona para que tome una decisión con carácter de urgencia.
- Alguien que pide una información a la que no debería tener acceso.
- Alguien que solicita una información que ya debería conocer.
- Algo demasiado bueno para ser verdad: un premio de la lotería, el automóvil de una rifa en que no ha participado, la solicitud de amistad de una preciosidad de mujer que vive en la Costa Azul o Río de Janeiro.
Uno de los recursos más recientes, comunes y “corrientes” utilizado por los ciberdelincuentes es, efectivamente, la “amistad”, a través de las redes sociales. Ilustres desconocidos supuestamente residentes en tierras remotas, de los que no se tiene la más mínima idea de quienes puedan ser.
En principio, se cree que son “bots” capitalizando seguidores, para después venderlos a empresas y hasta personas que quieren aparentar ser muy populares. Como el individuo que compraba un lote de libros en una compraventa y los mandaba empastar, para tener una impresionante biblioteca en su oficina.
Pero también –y eso es lo más posible- es que se trate de hackers tratando de ingresar a la intimidad de un ingenuo, para robarle la identidad o los datos que necesita para cometer alguna jugarreta.
Quienes limitan sus “amistades” en redes sociales a quienes son personas verdaderamente conocidas o instituciones y empresas que le pueden deparar algún provecho, no tienen dificultad en identificar a un intruso que trata de tener acceso a datos que pueden ser manipulados y ponerlos de patitas en la calle con un lapidario spam.
Pero el mayor riesgo de abrirle la puerta de la casa a un ciberataque lo corren quienes acumulan amistades, indiscriminadamente, creyendo que están haciendo gran cosa con su engrosar su currículum virtual.
De una forma o de otra, es importante revisar si ese o esa que está enviando una solicitud de amistad tiene alguna relación conmigo o con lo que hago, analizar quiénes son sus amigos y cuáles, entre ellos, son también mis amigos; cuál es la información que contienen sus perfiles… ver la foto, ponerse vivo.
Los expertos recomiendan que si usted sospecha que alguien está intentando timarlo, mediante un ataque de ingeniería social, corte por lo sano. Si es por teléfono, cuelgue; si es por correo, bórrelo; si es por chat, termine la comunicación inmediatamente. Y si el ataque es a una computadora que forma parte de una red, repórtelo al equipo de soporte lo más pronto posible.
En el sentido inverso, es conveniente prevenir ataques futuros de ingeniería social. No comparta contraseñas; no comparta demasiado (en redes sociales, foros, listas de correos, etc.) porque está regalando información estratégica al delincuente; verifique los contactos, cuando alguien lo llama de un banco, de una emisora de tarjetas de crédito o de otro tipo de empresas.
A fin de cuentas, cuando un amigo le dice que al pasar por cierto barrio no le pare a nadie que le haga señas, maje el acelerador hasta el fondo y no se detenga hasta salir a la carretera, uno generalmente es obediente. ¿No es mejor estar atento?