Seguritecnia 476

SEGURITECNIA Junio 2020 65 Opinión cialmente gran parte de estas estafas venían desde este país. En ellas, como casi todo el mundo sabe, una persona (un príncipe o similar) nos contacta por- que tiene una gran cantidad de dinero que no puede sacar de su país, y que amablemente compartirá con noso- tros si le ayudamos. Para realizar la ta- rea, en algún momento nos pedirán di- nero (para papeleos o envíos burocrá- ticos) del que una vez enviado nunca más volveremos a saber. Lo notable no es que todavía haya gente cayendo en la trampa (“¿por qué me contacta a mí un príncipe fo- rradísimo si no le conozco de nada? Da igual, es mi ocasión para hacerme rico”, supongo que piensan). Y lo sig- nificativo es que un alto porcentaje de ellos caen también en la “segunda de- rivada”: después de ser engañados, re- ciben un correo del −aparentemente− gobierno de Nigeria informándoles de que han averiguado que han sido víc- timas de un timo y que quieren com- pensarle económicamente. Para ello, claro, requieren del envío de una se- rie de documentos y una cierta can- tidad de dinero para envíos a cobro revertido y pago de tasas. Sorpren- dentemente, algunas víctimas caen de nuevo. Y algunos, de hecho, sin haber caído la primera vez o siquiera haber recibido un primer correo. Y aún más notable es la “tercera de- rivada”: un correo del Gobierno de Es- paña informándoles de que han arres- tado a unos delincuentes que se hacían pasar por un falso gobierno de Nige- ria y que (tras mandar dinero para unas tasas de nada, claro) nos van a devol- ver lo estafado. De nuevo, siempre hay alguien que pica, a pesar de llevar una pasta gastada en el proceso. Desco- nozco si hay una cuarta, pero todo es posible. Alucinante. Sofisticación No obstante, a pesar de la infinita cre- dulidad del personal, vamos progre- sando. Ya somos más precavidos antes de darle al ‘clic’ a un enlace de un co- rreo que tiene una pinta obviamente sospechosa. Pero, desgraciadamente, al mismo tiempo, cada vez los ataques son más abundantes y sofisticados. Pongamos ahora algunas definicio- nes para aclararnos de lo que hablamos: Phishing (del inglés fishing , pesca): consiste en el envío de correos elec- trónicos fraudulentos que dirigen a los destinatarios a páginas web falsas que aparentan ser una entidad conocida o bien que contienen adjuntos con al- gún tipo de malware , para capturar así sus contraseñas o tomar el control del dispositivo. Si bien inicialmente esta- ban plagados de errores ortográficos y un aspecto chapucero, cada vez son más profesionales y cuesta más distin- guirlos de un simple vistazo. Spear phishing o phishing dirigido : busca individuos o grupos específi- cos y personaliza los mensajes para un determinado perfil de víctima tras un trabajo de investigación previo so- bre ellas, para parecer más auténtico. Lógicamente, si alguien se ha tomado el trabajo de hacer un mensaje espe- cífico para nosotros, prestará más cui- dado que los anteriores. Whaling : cuando el objetivo del ata- que es un alto ejecutivo de la compa- ñía, típicamente un CEO o similar, lo que popularmente denominamos un “pez gordo”. Vishing : proviene de la unión de ‘ voice’ y ‘ phishing’ . Se llama así al ata- que que combina una llamada telefó- nica fraudulenta con la obtención de información por correo o web. Este es un ataque más elaborado, pero del que es más difícil defenderse. Por ejemplo, un día recibimos un correo puramente informativo de nuestro proveedor de Internet anunciándonos la existencia de un nuevo servicio de películas de estreno online ; un correo que es totalmente pasivo e inocuo. Unos días después, alguien nos llama y nos pregunta por teléfono si vamos a estar interesados en tener, de forma totalmente gratuita, este nuevo servi- cio durante unos meses. Días poste- riores a nuestra respuesta llegará un nuevo correo con nuestro “ link de ac- tivación” del servicio. Pocos se fijarán antes de hacer clic como si nada. Smishing : se denomina así al ataque mediante mensajes de texto o de WhatsApp que incluyen links a pági- nas fraudulentas o adjuntos malicio- sos. Nuestro smartphone abre alegre- mente el enlace con solo pulsarlo, y en un momento estamos infectados. Pharming : de la unión de phishing y farming . Es un ataque en el que, me- diante alguna técnica, se redirige el tráfico de un sitio web a otro fraudu- lento con el objetivo de robar infor- mación confidencial. Así, por ejemplo, el usuario cree que está conectán- dose a la web de su banco cuando en realidad lo está haciendo a otra web que imita al mismo. Obviamente, las contraseñas que introduzca se- rán aprovechadas por los estafadores para hacer operaciones ilícitas. Y, así, otros muchos “palabros en in- glés” inventados para definir nuevos ataques que han ido e irán apareciendo. El problema es que cuando uno oye los engaños que otros han sufrido, suele pensar “eso no me pasaría a mí”. Sin embargo, es mucho más fácil caer de lo que parece, especialmente en es- tos tiempos en los que damos un ‘clic’ a cientos de cosas al día. Para concienciar a los usuarios se hacen campañas de phishing internamente en las empresas y resulta muy difícil no caer en alguna. Yo mismo le he dado a algún link al que no debería. Principios ¿Pero por qué ocurre? Porque el inge- niero social se aprovecha de la natu- raleza humana. De hecho, hace ya 15 años, escribía unos “principios de in- geniería social” con algunos hechos que todo timador conoce, y que siguen siendo de actualidad: Principio de “tor mundo e güeno”: principio según el cual la inmensa mayoría de la gente está dispuesta a ayudar si ello está en su mano. A pe- sar de lo que se diga, en general la raza humana tiene un buen fondo y le gusta ayudar al prójimo en di- ficultades. Por eso facilitamos da- tos personales o un email a una per-