¿Sabías que el 95% de las incidencias en ciberseguridad se deben a errores humanos?
En el informe elaborado por investigadores en seguridad de IBM, conocido por IBM X-Force Threat Intelligence Index 2018, se puso de manifiesto este hecho analizando las causas de diversos incidentes de seguridad revelados públicamente a lo largo de 2015, 2016, 2017 y 2018. Con los datos recogidos podemos afirmar que todos somos una amenaza interna para nuestras empresas. Este tipo de incidentes ocurren dentro de compañías que están preparadas para defenderse de todo tipo de ciberataques a gran escala, pero ¿qué ocurre dentro de nuestros hogares?
Muchos de nosotros pensamos que los ciberdelincuentes utilizan sus amplios conocimientos en materia de informática para colarse en las grandes corporaciones, donde pueden obtener datos de mucho valor, sin embargo, la realidad es muy distinta. Es cierto que estas grandes empresas sufren multitud de ataques diariamente, pero eso no quiere decir que nosotros no seamos víctimas potenciales. Pensamos que estamos a salvo, que nuestros sistemas se encuentran bien protegidos y sería muy complicado que un ciberdelincuente pudiera hacerse con su botín, es decir, nuestros datos. No obstante, la realidad es que les es mucho más fácil aprovecharse de las vulnerabilidades provocadas por nuestros propios errores y, de hecho, así es, se aprovechan de nuestro desconocimiento.
Un ejemplo muy claro es el de crear una contraseña: supón que protegieses tus bienes más preciados en una caja fuerte con una combinación de 4 dígitos, es cierto, que al ladrón interesado en hacerse con tus bienes, le llevaría un tiempo abrirla, pero al final lograría hacerse con el interior de la caja fuerte. Sin embargo, si en vez de 4 números se trata de una combinación alfanumérica con signos de puntuación, mayúsculas y minúsculas, le sería muchísimo más complicado y probablemente desista en su intento de robo.
Otro hecho constatado es que los ciberdelincuentes suelen aprovecharse de la falta de información y formación que tienen los usuarios para tratar de llevar a cabo sus tácticas y engaños. Se aprovechan de pequeños despistes o errores que cometemos y que afectan directamente a la seguridad de nuestros dispositivos, comprometiendo nuestra valiosa información. A estas tácticas y engaños se les conoce como ingeniería social. Mediante esta práctica se consigue obtener información confidencial, acceso a determinados sistemas de información o incluso credenciales a través de la manipulación de los usuarios.
Dentro de la ingeniería social, las técnicas más utilizadas son:
- Phishing: se trata del tipo más común. El atacante recrea un sitio web conocido y con el que la víctima se sienta confiada. A través de un enlace a dicha web plagiada, el usuario pone en compromiso su información personal e incluso su información bancaria.
- Vishing: consiste en el uso del Protocolo Voz sobre IP (VOIP) para suplantar la identidad del afectado recreando una voz automatizada (utiliza una llamada de teléfono, en lugar de un mensaje de texto). Buscan obtener información financiera o útil para el robo de la identidad del usuario.
- Baiting: también conocido como “cebo” se sirve, por ejemplo, de unidades USB infectadas o discos ópticos que dejan repartidos en lugares públicos con la esperanza de que algún usuario los conecte en sus dispositivos.
- Smishing: se trata de una técnica muy similar a las anteriores. Se apoya en mensajes SMS para recrear comunicaciones con el usuario aparentemente legítimas para obtener sus datos personales.
- Redes sociales: con el auge de las redes sociales, los ciberdelincuentes han visto en ellas un entorno donde obtener gran cantidad de información que nosotros, los usuarios, compartimos unos con otros. Suelen emplear anuncios y páginas de fans con chollos u oportunidades únicas que envían a los internautas a webs maliciosas.
Para valorar la magnitud del problema y atendiendo al informe realizado por Symantec sobre las amenazas a la seguridad de Internet, revelaba que un 54,6% de los e-mails que recibimos los usuarios son spam. Además, su informe revela que cada usuario recibe una media de 16 emails maliciosos al mes. Seguro que conoces algún caso en el que tú o algún conocido haya recibido un e-mail de dudosa fiabilidad. Algunos de ellos, se han hecho muy famosos, ya sea por lo rápido que se extendieron o por el impacto que tuvieron sobre la sociedad. Veamos algunos ejemplos:
1. La estafa nigeriana (419): esta estafa se hizo muy famosa debido a lo rápido que se extendió por todo el mundo y en diferentes idiomas. Su premisa es sencilla, promete a su víctima una gran fortuna procedente de una herencia, un concurso o una donación. La única condición que impone es que el usuario realice un pago por adelanto para corroborar sus datos bancarios. A lo largo de los años, aparecieron numerosas variaciones del engaño original.
2. Noticias falsas: ¿Quién no ha escuchado hablar de las peticiones para evitar que WhatsApp se vuelva de pago?, ¿o para que Facebook incluyese el botón de “NO ME GUSTA”? Este tipo de peticiones solían ir acompañadas de un enlace para participar en la votación que redirigía al usuario a un sitio web infectado o te invitaban a descargarte la versión gratuita, que en realidad se trataba de un archivo malicioso.
¿Crees que han usado contigo alguna de estas técnicas alguna vez? Comparte tus experiencias y comentarios con el resto de los usuarios.