El factor humano suele ser el eslabón más débil si no tiene conciencia de los riesgos que conlleva la despreocupación por la seguridad informática, hay que extremar precauciones en descargas y permisos que otorgamos en esas descargas.
Los ataques por ingeniería social tienen el objetivo de conseguir que revelemos información personal, datos bancarios, etc.. o que permita al atacante tomar el control de nuestros equipos, en el peor de los casos será el paso previo para un ataque por malware.
Tipos de ataques por ingeniería social
- Phishing: El atacante envía un correo electrónico suplantando una entidad legítima, un cliente o proveedor, un banco, etc… puede incluir un enlace a una web pirata del propio atacante, a un archivo con malware.
- Smishing: El atacante se hace pasar por una persona conocida a través de SMS, puede que incluya un enlace a una web fraudulenta.
- Dumpster Diving: Tienen por objetivo la papelera de reciclaje del ordenador que hayamos utilizado.
- Vishing: El atacante se hace pasar por una persona conocida a través de una llamada telefónica.
- Baiting, el atacante aprovecha dispositivos USB infectados que se activan al insertar la memoria USB en el ordenador.
- Shoulder surfing: el método más sencillo, principalmente en lugares públicos pueden memorizar contraseñas, credenciales o contactos cuando las estamos introduciendo en el programa o aplicación.
- Spam: Lo que denominamos correos no deseados que pueden contener algún tipo de malware.
Cómo evitar ser víctimas de ataques de ingeniería social
- Prestar especial atención a correos de entidades bancarias o servicios como Dropbox, Facebook, Google Drive, Apple ID, Correos, Telégrafos, Agencia Tributaria, etc…
- Revisar la ortografía de ese tipo de mensajes, suelen contener errores ortográficos
- Estar atentos a correos de remitentes desconocidos del tipo “Estimado cliente”, “Notificación a usuario”, o “Querido amigo”
- Desconfiar si un mensaje te obliga a tomar una decisión en poco tiempo.
- El servicio de una entidad contrastada, nunca enviará correos de otras cuentas tipo @gmail.com, sino que lo harán siempre desde las direcciones corporativas
- Ninguna empresa te solicitará datos bancarios o personales por medio del correo
- Vaciar la papelera de reciclaje antes de apagar el equipo o poner una contraseña fuerte de acceso al mismo
- Desconfiar de memorias USB aparentemente perdidas, pueden ser un gancho o cebo para un ataque por baiting
- Extremar las precauciones cuando estemos utilizando nuestros dispositivos en sitios públicos
