¡Qué no te roben los datos!

¡Qué no te roben los datos!
28 de abril, 2009

Hemos hablado con Jorge de Miguel, responsable de G Data Iberia, sobre la manera de evitar los ataques combinados en el robo de identidades en la Red. La primera y más importante recomendación que nos ha dado es que los datos personales o de las empresas deben ser guardados con celo para no caer en la llamada “ingeniería social” y el ataque técnico, que es como suelen operar los ciberdelicuentes, consiguiendo engañar de esta forma a sus víctimas para luego aprovecha de manera ilegal los datos conseguidos.

 

El robo de identidades es un tipo de fraude relativamente nuevo que se está haciendo cada vez más fuerte en Internet. Esta actividad puede causar un enorme daño tanto al propio usuario como a las compañías, tanto económicamente como en términos de reputación. Constantemente, nos encontramos con noticias en los medios sobre identidades robadas. Por ello, hemos hablado con Jorge de Miguel, responsable de G Data Iberia, para que nos explique cómo se producen y qué podemos hacer para protegernos frente a este tipo de ataques.

 

G Data

 

Hablamos con Jorge de Miguel, responsable de G Data Iberia.

 

MuyComputer: ¿Cómo pueden hacerse con nuestros datos los ciberdelincuentes?

 

Jorge de Miguel: Existen diferentes maneras con las que los criminales pueden hacerse con nuestros datos personales, desde el contacto físico (robo de nuestra maleta o búsqueda de papeles en nuestra basura que contengan información personal) hasta otros métodos que probablemente no nos sean tan fáciles de reconocer.
En concreto, me gustaría centrarme en dos tipos de ataque que se producen a menudo en combinación. Un aspecto crucial en los ataques combinados es lo que llamamos la “ingeniería social”, mientras que el otro resulta más técnico.

 

MC: ¿Qué es la “ingeniería social”?

 

JdM: El término “ingeniería social” se define como “el arte de manipular a la gente para que lleve a cabo acciones o divulgue información confidencial”. En la mayoría de los casos, la ingeniería social requiere de una técnica denominada pretexting, que consiste en la creación de un escenario particular (pretexto) utilizado para persuadir a la víctima para revelar información o llevar a cabo una acción. Por ejemplo, esto puede hacerse a través del teléfono, llamando a la víctima y haciéndose pasar por un colaborador, un oficial de policía, la compañía eléctrica o un empleado del servicio de atención al cliente. Al convencer a la víctima de que el que está al otro lado del teléfono es quien dice ser, en muchos casos resulta extremadamente fácil obtener los datos personales de la víctima o de su empresa. En dicho caso, la víctima revelará bajo su propia voluntad datos que normalmente guarda en secreto, como credenciales de acceso, números de tarjetas de crédito o cualquier otro tipo de información sensible.

 

Ciberdelincuencia

 

MC: ¿Cómo se combina la “ingeniería social” con otras técnicas?

 

JdM: El componente de “ingeniería social” puede actuar como “puerta de entrada” a un ataque combinado y preparar el camino para el siguiente paso, de carácter técnico. Por ejemplo, el atacante puede decirle a la víctima que es necesario instalar un parche de seguridad urgentemente en su sistema, y que dicho parche le será enviado por correo electrónico. A menudo, otros trucos psicológicos se utilizan para intimidar y convencer a la víctima de que hay que llevar a cabo una acción concreta a cualquier coste. Cuando se le convence y accede a hacer lo que el atacante sugiere, el segundo paso del ataque combinado viene a continuación.

 

MC: ¿A qué te refieres cuando hablas de ataque técnico?

 

JdM: El ataque técnico representa el segundo paso en un ataque combinado de robo de identidad. Aquí entra en juego el uso de software malicioso que se instala en el sistema de la víctima. En muchos casos, este software se camufla como parches, actualizaciones necesarias o generalmente software legítimo a priori que necesita ser instalado con urgencia. También pueden hacerse pasar por facturas, avisos de entrega o cualquier cosa que haga que el receptor crea que su contenido es real y, por ende, necesite abrirse. En realidad, el software tiene un objetivo malicioso: robar los datos personales. Esto puede hacerse al interceptar las pulsaciones de teclado o el tráfico de la red del sistema escogido, o escaneando de forma activa los datos que pretenden interceptarse. Este tipo de software se considera spyware. Sin el conocimiento o el consentimiento de la víctima, los datos almacenados o introducidos en el sistema se recopilan y se envían al atacante.

 

Ciberdelincuencia

 

MC: ¿Qué recomendaciones nos das para evitar el robo de identidades?

 

JdM: Los usuarios deberían extremar las precauciones cuando alguien les contacte y les pregunte por datos personales o de su empresa. Si existe el menor atisbo de duda, no dejes que el interlocutor te intimide. Si te sientes inseguro, consulta a un experto antes de llevar a cabo cualquier acción por ti mismo. No reveles ninguna información sensible si sientes que la llamada te coacciona. Antes de abrir cualquier archivo que afirme constituir una importante actualización de seguridad o del sistema, escanea dicho archivo con un antivirus actualizado. Haz caso a tu sentido común y, en caso de duda, mejor no actúes de la forma en la que te diga tu interlocutor.

 

Campaña G DATA y MuyComputer: regalamos 20 suites de seguridad gratis

 

 

  • Share This