Últimamente, las noticias relacionadas con la fuga de datos o la ciberdelincuencia ocupan cada vez más espacio en los periódicos. Con el aumento del número de personas que trabajan a distancia, las organizaciones públicas y privadas se han vuelto aún más vulnerables a las estafas de ingeniería social como el phishing.
Los grupos delictivos han estado operando diversas formas de ciberataques. De este modo, pueden explotar distintas vulnerabilidades para cumplir sus objetivos, como el secuestro de información o la malversación de fondos.
Pero no sólo las grandes organizaciones están sujetas a este tipo de amenazas. Además de ellas, las pequeñas y medianas organizaciones, así como las instituciones públicas e incluso los tribunales, también se han convertido en blanco de estos ataques.
Las técnicas utilizadas por los delincuentes para infiltrarse en los sistemas son cada vez más elaboradas. A través de mensajes y correos electrónicos, se hacen pasar por grandes marcas o personas conocidas para robar datos sensibles y también aplicar estafas.
Pero, ¿cómo puede afectar esto a su organización? ¿Recuerda esa tentadora oferta de viaje que recibió en su correo electrónico corporativo y en la que hizo clic para ver si era real? Esto podría abrir las puertas de tu organización a los delincuentes.
Phishing
Las amenazas relacionadas con la ingeniería social no son nada nuevo. Este tipo de estafa ya se practicaba y creció aún más durante la pandemia. Una encuesta de Febraban (Federación Brasileña de Bancos) indicó un crecimiento del 165% en este tipo de estafa en el primer semestre de 2021, en comparación con el mismo período del año anterior.
También según Febraban, los fraudes de ingeniería social más comunes son las estafas de WhatsApp y el phishing. Según la federación, las estafas de phishing tuvieron un crecimiento del 26% en los seis primeros meses del año pasado.
El phishing son campañas de mensajería que buscan engañar a los usuarios para obtener credenciales o acceder a sistemas y directorios. Este tipo de estrategia figura siempre entre los principales vectores de los ciberataques.
Mensajes diseñados según temas de actualidad, o una falsa comunicación sobre un acceso indebido a su cuenta, pueden ser la puerta de entrada para los delincuentes.
Desde el inicio de la pandemia, han circulado comunicaciones relacionadas con Covid-19 con la intención de robar información. Los formularios falsos para registrarse en los puestos de vacunación se utilizaron ampliamente para engañar a la gente.
De este modo, estas estrategias de ingeniería social recopilan información importante que puede utilizarse para llevar a cabo ciberataques, o reunirse y exponerse en foros.
Las redes sociales también se han convertido en uno de los principales medios empleados por los delincuentes para llevar a cabo estafas de phishing. Haciéndose pasar por canales de servicios, los estafadores pueden conseguir que la víctima facilite información personal, que posteriormente puede utilizarse para llevar a cabo estafas.
En el contexto empresarial, los delincuentes pueden enviar correos electrónicos e incluso mensajes en redes sociales, como LinkedIn, para compartir enlaces maliciosos y robar datos confidenciales, que pueden utilizarse para ejecutar ataques.
Dado que los ataques de phishing pueden estar dirigidos específicamente a recopilar datos de organizaciones concretas, lo que se conoce como spear phishing, a las organizaciones les interesa evitar que las personas sean víctimas de estas estafas.
Por ello, las organizaciones están invirtiendo en simulaciones y formación constante para concienciar a los usuarios. Incluso invirtiendo en herramientas que desarrollen capas de protección y contengan mensajes sospechosos, basta con que una persona caiga en este tipo de estafa para que la seguridad se vea comprometida.
Por eso es muy importante concienciar a la gente. Así como el uso de simulaciones, formación y cuestionarios para acercar los temas de seguridad digital a la vida cotidiana.
SMishing
Como decíamos antes, los delincuentes utilizan diferentes métodos para engañar a la gente y conseguir sus objetivos. Entre ellos se encuentra el smishing, una técnica de phishing que utiliza mensajes de texto.
Una de las principales formas utilizadas por los delincuentes es enviar mensajes de texto fraudulentos relacionados con la entrega. Otros señuelos habituales son los mensajes de texto con información falsa relacionada con vacunas, ayudas financieras y que enlazan a las víctimas con sitios web que parecen canales oficiales de gobiernos, empresas e instituciones.
Siguiendo la misma lógica que el phishing, el smishing se aprovecha de la ingenuidad y el descuido de las personas. Al hacer clic en enlaces maliciosos, las víctimas abren la puerta a los delincuentes para que lleven a cabo ciberataques.
Vishing
El vishing es la versión verbal del phishing. Normalmente, esta técnica se utiliza a través de llamadas telefónicas, creando pretextos para obtener información de la víctima.
El vishing suele empezar donde lo dejó el phishing. Por ejemplo, usted está buscando algún tipo de producto en Internet, y entra en un sitio que no es completamente seguro.
Su interacción con los enlaces de este sitio llama la atención de un ciberdelincuente, que momentos después habla con usted por teléfono. Durante la conversación le convence para que facilite los datos de su tarjeta de crédito. Por lo general, la persona sólo se da cuenta de que ha sido víctima de una estafa días después.
Código QR
Este tipo de estafa de phishing empezó a cobrar más importancia el año pasado.
Los códigos QR, códigos matriciales en blanco y negro que se pueden leer a través de las cámaras de los teléfonos móviles, se hicieron más populares durante la pandemia. Así, las empresas vieron una oportunidad de atraer a los consumidores y prestar servicios durante la pandemia.
Uno de los mayores ejemplos es el sector de la alimentación, donde los restaurantes han abandonado los menús en papel y han empezado a permitir a los clientes escanear códigos con sus dispositivos móviles.
Sin embargo, muchos de los sitios web a los que dirigen estos códigos QR son gestionados por terceros. Como tal, este tipo de servicio puede conectar los teléfonos a un destino malicioso, como hacer clic en un enlace malicioso.
La gente puede entonces simplemente asumir que el código y el sitio son legítimos y caer en estafas sin siquiera darse cuenta.
Algunos atacantes incluso sustituyen los códigos reales de los establecimientos, modificando la dirección del usuario. Como resultado, la víctima cae en una página falsa que transmite información, o incluso dirige pagos, a los ciberdelincuentes.
Además, se pueden instalar aplicaciones con malware sin que el usuario se dé cuenta, infectando el móvil y robando diversos datos.
Deepfake
¿Sabes lo que es un Deepfake? Los deepfakes utilizan la inteligencia artificial para imitar la imagen y la voz de personas reales. Este tipo de tecnología también ha pasado a formar parte de los ataques de phishing en los últimos años.
Para engañar a la gente, los delincuentes utilizan este tipo de tecnología para hacerse pasar por otras personas y convencer a las víctimas de que faciliten datos confidenciales.
Un gran ejemplo es el uso de este tipo de tecnología para engañar a empleados de empresas que trabajan a distancia. Estas personas se convierten en objetivos porque prácticamente no tienen contacto cara a cara con otros empleados y se les puede engañar mediante una imitación de voz extremadamente realista.
Cuentas falsas
Este es uno de los métodos favoritos de los ciberdelincuentes. Dada la facilidad para crear una cuenta falsa y el bajo coste de mantenimiento, los delincuentes aprovechan para realizar diversos tipos de estafas.
Estos perfiles utilizan la identidad visual y la reputación de grandes marcas para engañar a las víctimas. Por ejemplo, un consumidor hace un comentario en la página de una gran marca, esto llama la atención del delincuente, que utiliza una página falsa para ponerse en contacto con esa persona y aplicarle una estafa.
Además del clásico phishing, los delincuentes pueden aplicar el fraude, chantajear a las víctimas e incluso aplicar otro tipo de estafas para aprovecharse de las víctimas.
Los delincuentes pueden utilizar estos perfiles falsos para difundir enlaces de phishing. Además, utilizan términos para dar credibilidad a los perfiles falsos, haciendo creer a la gente que realmente están tratando con la marca real.
Sólo adoptando estrategias eficientes podrán las organizaciones hacer frente a los ataques con eficacia. Los delincuentes se mantienen actualizados y cada día utilizan nuevas tecnologías para ejecutar sus ataques.
Estafas como el phishing pueden ser la puerta de entrada para ejecutar ataques de ransomware, u otros ciberdelitos. En la actualidad, los delincuentes están operando formas de desarrollar servicios para facilitar estas operaciones.
Noticias falsas
La manipulación de los hechos y la difusión de noticias falsas ha sido objeto de gran debate estos días. Normalmente, muchos temas de actualidad sufren distorsiones y son manipulados para distribuir información sin fundamento, que a menudo utiliza fuentes poco fiables para difundir temas controvertidos e incluso información falsa.
La gente consume información a diario y, con la popularización de Internet, la posibilidad de recibir noticias en tiempo real se hizo mucho más fácil. Sin embargo, la facilidad para compartirlas tiene aspectos negativos.
No es habitual que la gente compruebe las fuentes de las noticias. De este modo, cuando alguien recibe una noticia urgente, que trata de asuntos de actualidad, es probable que crea y no busque cuestionar esa fuente.
Así, los delincuentes utilizan estas noticias falsas para difundir enlaces maliciosos, que pueden permitir el robo de datos de las víctimas. De este modo, los ciberdelincuentes utilizan páginas falsas que simulan portales de noticias famosos para generar aún más clics.
Para evitar este tipo de problemas, es necesario concienciar a la población sobre cómo identificar este tipo de estafas. Además, deben ser conscientes de los problemas de compartir noticias falsas y de las consecuencias que puede acarrear a la sociedad, así como de los riesgos cibernéticos.
Elecciones
Este es un año electoral en Brasil y esto debería traducirse en un crecimiento del número de cuentas falsas y otras formas de difusión de noticias falsas.
Para garantizar un proceso electoral democrático en las elecciones de 2022, los órganos brasileños que controlan el escrutinio intentan luchar contra las fake news.
Para luchar contra la desinformación, grandes empresas, como Google, Twitter y Facebook, se han asociado con organismos de control. Además, desarrollan tecnologías para reconocer la información falsa e impedir que se comparta.
Sin embargo, muchas tecnologías desarrolladas para las redes sociales también dependen de personas y moderadores. Muchas denuncias de contenidos que comparten información falsa pasan desapercibidas, lo que permite que tales publicaciones permanezcan en antena durante largos periodos de tiempo.
También se acusa a estas plataformas de no actuar con eficacia en otros países. Así, muchas herramientas para combatir la difusión de información falsa no están disponibles para todos los usuarios, lo que puede afectar a las naciones de manera diferente.
Así pues, es papel de toda la sociedad combatir la desinformación. Desde las organizaciones, públicas y privadas, hasta los organismos gubernamentales y la población en general, es necesario dejar de alimentar la desinformación.
Así, las fake news pueden influir en las elecciones de muchos países. Sumada a la capacidad de difusión de información de las redes sociales, es muy difícil controlar que este tipo de información no circule.
Es necesario que las grandes empresas desarrollen métodos para identificar rápidamente esta información falsa e impedir que sea compartida e incluso vista por otros usuarios.
También es importante el desarrollo de tecnologías para identificar y eliminar perfiles falsos, garantizando que los usuarios son humanos.
Se trata de un reto que debe afrontarse en varios frentes, y que implica también la concienciación de las personas. Es necesario que sepan reconocer las noticias falsas, que busquen las fuentes de la información y se dediquen siempre a buscar fuentes fiables.
Eventos
Como sabemos, este año tendremos uno de los mayores acontecimientos deportivos del mundo, el Mundial de Fútbol. Además, los Juegos Olímpicos de Invierno en Pekín también atraen a muchos turistas y consumidores.
Todo esto es una gran oportunidad para que los ciberdelincuentes apliquen estafas oportunistas. Ya se trate de ataques directos a organizaciones, patrocinadores, participantes o aficionados, todo el mundo se convierte en objetivo de los delincuentes.
Así, los grandes eventos pueden ser un gran reclamo para que los delincuentes se aprovechen de la credibilidad de las marcas y apliquen estafas. Actúan enviando enlaces y mensajes falsos, por lo que muchos consumidores pueden ser víctimas de estafas de phishing que buscan información sensible.
¿Quiere saber más sobre los principales tipos de ataques centrados en la ingeniería social? Descargue nuestro informe sobre ingeniería social.
