Tengo un compañero de carrera que, cuando estudiábamos todo tipo de ecuaciones en la escuela de Teleco, solía decir: “esto no sirve para nada. Únicamente es importante conocer aquello susceptible de salir en un telediario, y yo no veo ninguno empezando con este rollo”. Pues bien, mira por dónde, aunque hace años era casi impensable, actualmente ya resulta de lo más normal encontrarse cada noche con noticias de ciberseguridad en los telediarios.
Eso sí, en muchas ocasiones me pone nervioso que lo metan todo en el mismo saco. Para muestra, una noticia que veía recientemente: un “ataque” por WhatsApp en el cual los usuarios reciben un mensaje por el que tienen que mandar 30 euros y sus datos para entrar a formar parte de una red en la cual acabarían recibiendo 1.000 euros cada uno. El clásico timo piramidal de toda la vida. La única diferencia es el medio por el que se recibe el mensaje. Por lo demás, esto tiene poco o nada que ver con la ciberseguridad.
Picaresca
En puridad, esto de la ingeniería social tiene bastante más que ver con la tradicional picaresca mediterránea y timos como el de la ‘estampita’ que con los sistemas informáticos. Lo que ocurre es que hablar de métodos de ingeniería social da un halo de “técnica superior” a quien habla de ello, en oposición a “profesional del timo y el engaño”, que suena peor. Aunque es, al fin y al cabo, de lo que estamos hablando.
La única diferencia con la ingeniería social es que mientras el Lazarillo de Tormes empleaba sus artes para conseguir un trozo extra de queso, el nuevo pícaro del siglo XXI lo hace para conseguir dinero a través de medios digitales. Por lo demás, es prácticamente lo mismo, si bien es cierto que las nuevas tecnologías facilitan la labor del timador: hace falta ser más lanzado para engañar en persona que por teléfono; y claramente es aún más sencillo mentir en un email sin ponerse colorado.
Poco a poco los engaños de ingeniería social más famosos van siendo cada vez menos eficaces, aunque todavía siguen teniendo éxito. Tomemos, por ejemplo, el timo de la carta nigeriana o timo 419, llamado así por el artículo del código penal de Nigeria que viola, y porque inicialmente gran parte de estas estafas venían desde este país. En ellas, como casi todo el mundo sabe, una persona (un príncipe o similar) nos contacta porque tiene una gran cantidad de dinero que no puede sacar de su país, y que amablemente compartirá con nosotros si le ayudamos. Para realizar la tarea, en algún momento nos pedirán dinero (para papeleos o envíos burocráticos) del que una vez enviado nunca más volveremos a saber.
Lo notable no es que todavía haya gente cayendo en la trampa (“¿por qué me contacta a mí un príncipe forradísimo si no le conozco de nada? Da igual, es mi ocasión para hacerme rico”, supongo que piensan). Y lo significativo es que un alto porcentaje de ellos caen también en la “segunda derivada”: después de ser engañados, reciben un correo del −aparentemente− gobierno de Nigeria informándoles de que han averiguado que han sido víctimas de un timo y que quieren compensarle económicamente. Para ello, claro, requieren del envío de una serie de documentos y una cierta cantidad de dinero para envíos a cobro revertido y pago de tasas. Sorprendentemente, algunas víctimas caen de nuevo. Y algunos, de hecho, sin haber caído la primera vez o siquiera haber recibido un primer correo.
Y aún más notable es la “tercera derivada”: un correo del Gobierno de España informándoles de que han arrestado a unos delincuentes que se hacían pasar por un falso gobierno de Nigeria y que (tras mandar dinero para unas tasas de nada, claro) nos van a devolver lo estafado. De nuevo, siempre hay alguien que pica, a pesar de llevar una pasta gastada en el proceso. Desconozco si hay una cuarta, pero todo es posible. Alucinante.
Sofisticación
No obstante, a pesar de la infinita credulidad del personal, vamos progresando. Ya somos más precavidos antes de darle al ‘clic’ a un enlace de un correo que tiene una pinta obviamente sospechosa. Pero, desgraciadamente, al mismo tiempo, cada vez los ataques son más abundantes y sofisticados.
Pongamos ahora algunas definiciones para aclararnos de lo que hablamos:
- Phishing (del inglés fishing, pesca): consiste en el envío de correos electrónicos fraudulentos que dirigen a los destinatarios a páginas web falsas que aparentan ser una entidad conocida o bien que contienen adjuntos con algún tipo de malware, para capturar así sus contraseñas o tomar el control del dispositivo. Si bien inicialmente estaban plagados de errores ortográficos y un aspecto chapucero, cada vez son más profesionales y cuesta más distinguirlos de un simple vistazo.
- Spear phishing o phishing dirigido: busca individuos o grupos específicos y personaliza los mensajes para un determinado perfil de víctima tras un trabajo de investigación previo sobre ellas, para parecer más auténtico. Lógicamente, si alguien se ha tomado el trabajo de hacer un mensaje específico para nosotros, prestará más cuidado que los anteriores.
- Whaling: cuando el objetivo del ataque es un alto ejecutivo de la compañía, típicamente un CEO o similar, lo que popularmente denominamos un “pez gordo”.
- Vishing: proviene de la unión de ‘voice’ y ‘phishing’. Se llama así al ataque que combina una llamada telefónica fraudulenta con la obtención de información por correo o web. Este es un ataque más elaborado, pero del que es más difícil defenderse. Por ejemplo, un día recibimos un correo puramente informativo de nuestro proveedor de Internet anunciándonos la existencia de un nuevo servicio de películas de estreno online; un correo que es totalmente pasivo e inocuo. Unos días después, alguien nos llama y nos pregunta por teléfono si vamos a estar interesados en tener, de forma totalmente gratuita, este nuevo servicio durante unos meses. Días posteriores a nuestra respuesta llegará un nuevo correo con nuestro “link de activación” del servicio. Pocos se fijarán antes de hacer clic como si nada.
- Smishing: se denomina así al ataque mediante mensajes de texto o de WhatsApp que incluyen links a páginas fraudulentas o adjuntos malicio- sos. Nuestro smartphone abre alegremente el enlace con solo pulsarlo, y en un momento estamos infectados.
- Pharming: de la unión de phishing y farming. Es un ataque en el que, mediante alguna técnica, se redirige el tráfico de un sitio web a otro fraudulento con el objetivo de robar información confidencial. Así, por ejemplo, el usuario cree que está conectándose a la web de su banco cuando en realidad lo está haciendo a otra web que imita al mismo. Obviamente, las contraseñas que introduzca serán aprovechadas por los estafadores para hacer operaciones ilícitas.
Y, así, otros muchos “palabros en inglés” inventados para definir nuevos ataques que han ido e irán apareciendo.
El problema es que cuando uno oye estos engaños de ingeniería social que otros han sufrido, suele pensar “eso no me pasaría a mí”. Sin embargo, es mucho más fácil caer de lo que parece, especialmente en estos tiempos en los que damos un ‘clic’ a cientos de cosas al día. Para concienciar a los usuarios se hacen campañas de phishing internamente en las empresas y resulta muy difícil no caer en alguna. Yo mismo le he dado a algún link al que no debería.
¡Sigue Leyendo!
Aquí te hemos mostrado tan sólo una parte de este artículo.
¿Quieres leer el contenido completo?
