Instituto Nacional de ciberseguridad. Sección Incibe
Oficina de Seguridad del Internauta. Sección Ciudadanía

Una petición de ayuda muy poco fiable

Fecha de publicación 23/12/2019
Enlace a la historia real "Una petición de ayuda muy poco fiable"

Es difícil saber cómo prever o controlar las reacciones de los usuarios frente a diferentes engaños que circulan por la Red, como son los enlaces maliciosos en correos electrónicos, los archivos adjuntos en mensajes, la solicitud de información confidencial en formularios web, la publicidad online, las llamadas que se hacen pasar por técnicos de servicios de grandes empresas u ofertas de trabajo fraudulentas, entre otros. Por lo que, en la actualidad, los ciberdelincuentes nos usan como puerta de acceso para poner en práctica sus engaños, además el aumento de la sofisticación de los ciberataques, complica la facilidad para reconocerlos.

imagen ciberdelincuente pago

Mantenerte en constante aprendizaje te ayudará evitar situaciones similares a la que te relatamos a continuación, con el padre de la familia Cibernauta como protagonista.

¿Qué le ocurrió?

Imagen ayuda

Nuestro protagonista se encontraba mirando fotografías dentro de una plataforma social muy popular, llamada “Fotogram” que permite subir tus fotografías favoritas, compartirlas con otros usuarios, valorarlas, etc.

Esa misma tarde, recibió un mensaje privado de uno de sus mejores amigos. Este le informaba de que su madre se había puesto muy enferma y debían recurrir a un tratamiento muy caro, solicitando a nuestro protagonista su ayuda económica.

El padre, muy preocupado, no dudó en realizar numerosas preguntas sobre el estado de salud de la madre. Sin embargo, su amigo no hacía más que ignorarlas e insistir en solicitarle una transferencia bancaria.

Sin conseguir respuestas, el padre de la familia Cibernauta decidió llamar a su amigo directamente y hablar con él.

imagen persona dudando

Para sorpresa de ambos, el amigo le explicó que su madre se encontraba de maravilla, ya que justo acababa de volver de un viaje a Marbella.

Además, le comenta que en ningún momento se había conectado a la plataforma “Fotogram”, ni había enviado ningún mensaje.

Acto seguido, el amigo, con la mosca detrás de la oreja, intentó acceder a su cuenta en dicho servicio. Para su sorpresa le apareció un mensaje de error que le indicaba que su contraseña era incorrecta.

Al parecer, su cuenta había sido hackeada. Un ciberdelincuente había conseguido sus claves de acceso y se había hecho pasar por él para tratar de engañar a sus contactos.

Gracias a la intervención del padre de la familia Cibernauta y su buen juicio, su amigo supo que su cuenta había sido hackeada, evitando ser víctimas de una estafa.

Imagen pantalla error

Pero, ¿cómo supo el ciberdelincuente a quién atacar?

Una forma de obtener víctimas mediante técnicas de ingeniería social, es hacerse pasar por alguien de confianza para después, articular el fraude o engaño con mayor facilidad.

En este caso en concreto, el procedimiento que siguió el ciberdelincuente fue el siguiente:

  1. El amigo del padre tenía la cuenta de una red social pública en la que todas sus publicaciones eran visibles a cualquier persona.
  2. Supo que eran amigos de la infancia gracias a los comentarios, las publicaciones y fotos que aparecían en la cuenta.
  3. El ciberdelincuente, al hackear la cuenta del amigo por un ciberataque de fuerza bruta, descubrió que el padre de la familia Cibernauta había estado haciendo numerosos viajes, por lo que intuyó que no carece de problemas económicos.
  4. Finalmente, teniendo toda la información que necesitaba para hacerse pasar por su amigo, pone en marcha la trampa para intentar que el padre de la familia realice un pago, bajo la excusa de la enfermedad de la madre de un amigo, un tema claramente delicado y sensible.

A este tipo de estafas dirigidas a una persona específica, con el objetivo de robarle información o dinero, también se conoce como spear phishing.

¿Cómo los ciberdelincuentes encuentran tu información?

Quizás te estés preguntando cómo un ciberdelincuente puede conseguir la víctima adecuada y contextualizar o adaptar una trampa. La respuesta es el “OSINT”, que consiste en recopilar información a partir de fuentes de acceso público, y gracias a las redes sociales, blogs, foros y otros medios de comunicación, hoy en día es mucho más sencillo.

Esto depende, en gran medida, de la configuración de privacidad que tenga el usuario. Si dedicamos un tiempo a la configuración, resultará mucho más complejo poder realizar ciberataques personalizados, disponiendo, únicamente, del correo del usuario. Sin embargo, si descuidamos la información que publicamos y no prestamos atención a la configuración de privacidad y seguridad que facilitan los distintos servicios, con una solo foto, se podrá realizar, por ejemplo, una búsqueda en Google Images, y de este modo, recopilar más información.

imagen buscador de google

Imagínate que un ciberdelincuente, además de tener un correo o una foto, consigue una pequeña biografía en un sitio web corporativo, donde también aparece un enlace al perfil de una red social de este usuario. Y si, además, en dicho perfil son visibles intereses, amigos más cercanos, situación laboral o lugar de trabajo, hará que un ciberataque de spear phishing sea mucho más fácil de llevar a cabo, ya que se podrá crear una trampa personalizada que resultará más difícil de identificar.

¿Qué debes hacer para protegerte?

Para evitar que los ciberdelincuentes puedan obtener información personal e impedir un ciberataque de “spear phishing”, atiende a los siguientes consejos:

  • No te registres en redes sociales públicas donde sea necesario aportar demasiada información personal. De hacerlo, recuerda revisar y configurar correctamente todos los aspectos de privacidad y seguridad que ofrezca para tener bajo control, en todo momento, quién accede a dicha información.
  • Activa el segundo factor en tus cuentas, para que no puedan acceder a tus perfiles, si por algún motivo, consiguen obtener tus credenciales de acceso.
  • No utilices la misma foto en perfiles personales y en cuentas de trabajo.
  • Utiliza seudónimos diferentes para que, si el ciberdelincuente conoce alguno, no pueda rastrearte en todas las redes.
  • No facilites información a los ciberdelincuentes publicando datos personales en las redes sociales (domicilio, número de teléfono, fotografías donde se vean tus documentos de identidad, etc.).

A menudo, las medidas de seguridad tradicionales como software especiales no bastan para detectar estos ciberataques, debido al grado de personalización que contienen. En consecuencia, cada vez es más difícil detectarlos, por lo que la primera defensa contra los ciberdelincuentes siempre serás tú.

¿Alguna vez te ha pasado algo parecido? ¿Sigues alguno de los consejos que te compartimos? Comparte con el resto de los usuarios tu opinión y experiencias y mantente al día con las publicaciones de la OSI en materia de ciberseguridad para poder disfrutar de las ventajas de la tecnología.

Historia real enmarcada dentro de la campaña
Ingeniería social: que no te engañen