Saber cómo identificar métodos de engaño como el phisihing, vishing o smishing puede salvarnos de ser víctimas de ciberestafas.

Diversos estudios muestran como los ataques basados en ingeniería social se van a duplicar en este año 2022 con respecto a 2021. Y es que, en los ataques de ingeniería social, las mayores vulnerabilidades se encuentran en el comportamiento de las personas.

Estos ataques realizados por los ciberdelincuentes están basados en principalmente en técnicas de engaño, donde los atacantes se hacen pasar por personas o empresas de confianza o muy conocidas para aprovecharse de los usuarios. Entre los métodos de ingeniería social más usados están el phishing, vishing y smishing.

Phishing

Los ataques de phishing son la principal vía que utilizan los ciberdelincuentes para hacerse con contraseñas y otros datos privados de los usuarios de internet. El método de engaño consiste en el envío de un correo electrónico donde los ciberdelincuentes suplantan la identidad de entidades de confianza, como una entidad bancaria, una red social, una entidad pública, un servicio de mensajería, etc. Al suplantar esta identidad, el usuario puede sin querer darle sus datos y obtienen así tanto la información personal como la bancaria. También es común que adjunten archivos infectados o enlaces a páginas fraudulentas.

Vishing

Otro de los métodos de engaño es el vishing. Este consiste en la realización de llamadas telefónicas haciéndose pasar por empresas de confianza, como los bancos, un servicio técnico o una gran empresa. En la llamada también acaban pidiendo los datos personales o acaban tomando el control de dispositivos.

Smishing

Entre los métodos de ingeniería social cada vez más utilizados está también el Smishing. Este consiste en el envío de mensajes de texto (SMS) o por aplicaciones de mensajería instantánea, haciéndose pasar por entidades de confianza o contactos de la víctima para obtener información personal y bancaria. Normalmente en estos mensajes hay un hipervínculo hacia un sitio web malicioso donde se piden introducir datos personales.

Recomendaciones para identificar ataques de ingeniería social.

Es importante llevar a cabo siempre una serie de pautas para poder identificar si estamos siendo víctimas de un intento de ataque mediante ingeniería social. Algunas de estas recomendaciones son las siguientes:

– No actuar con urgencia. En muchos de esos mensajes o emails piden contestar rápido a una acción urgente alegando que puede, por ejemplo, eliminarse el acceso a tu cuenta. Siempre hay que actuar con sentido común y no realizar ninguna acción de forma rápida.

– Comprobar el remitente del correo, mensaje o la llamada telefónica. Si el número es extraño o el correo tiene faltas de ortografía o una mala traducción, puede que se trate de un fraude.

– Analizar el asunto en el caso de correos electrónicos. La mayoría de los fraudes utilizarán un asunto llamativo que capte nuestra atención por su importancia o urgencia.

– Entender el objetivo del mensaje. En el caso de los métodos de ingeniería social siempre debemos preguntarlos lo primero que quieren saber de nosotros. Hay que tener en cuenta que las entidades bancarias de las que somos clientes ya tienen nuestros datos, por lo que es muy raro que necesiten pedírnoslos por correo electrónico, llamada o SMS.

– Comprobar los enlaces en el caso de emails y SMS. Si el mensaje incluye un enlace, debemos comprobar si es fiable o no. Para ello basta con pasar el cursor por encima o manteniendo el dedo sobre el mismo y fijarse en la URL real.

– Analizar el adjunto antes de descargar. Antes de descargar archivos adjuntos es imprescindible pasar el antivirus para asegurarnos de que no se trata de un malware.

En el caso de sospechar de que es un fraude, lo mejor es no hacer nada. Si la información viene de una entidad bancaria o empresa conocida, es recomendable ponerse en contacto con ella y explicar que has recibido ese correo, llamada o SMS.