08/03/2024
FXCOM Capacitación Estratégica, Trelew (2024) CAPACITACION - SEMINARIOS y COACHING EMPRESARIAL Infromatica-Tecnologia-Diseño Laboral
CAPACITACION - SEMINARIOS y COACHING EMPRESARIAL
Infromatica-Tecnologia-Diseño Laboral
Flavio BATALLA
08/03/2024
FXCOM Capacitación Estratégica, Trelew (2024) CAPACITACION - SEMINARIOS y COACHING EMPRESARIAL Infromatica-Tecnologia-Diseño Laboral
02/08/2020
Técnica teórica para abusar de las tarjetas EMV - Cyberciencia Hace dos semanas, ZDNet informó sobre los resultados de un experimento muy interesante que analizó cómo los bancos implementaron tarjetas EMV (chip) en
29/07/2020
Como ocultar mensajes secretos dentro de imágenes Hoy les explicaremos como ocultar mensajes secretos dentro de imagenes en Parrot OS.
21/07/2020
Neurocomunicación Diseñado y organizado por la Facultad de Ciencias Económicas y de Administración.
Según su definición de referencia, la Ingeniería Social consiste en persuadir a una persona para influenciarla en sus acciones. En otras palabras, es la manipulación de personas influenciándolas a ejecutar determinada acción, que las lleva a ser víctimas de un delito informático.
Se busca generar una situación creíble, de confianza, sin dejar nada libre al azar. Un ejemplo puede ser un scam, o sitio web modificado con fines maliciosos, como el que hace poco les mostramos cuando se utilizó la estética de la gira de los Rolling Stones para crear un sitio que prometía entradas gratis a cambio de clics en Facebook.
Cuando un atacante lleva a cabo una técnica de Ingeniería Social, su efectividad depende del comportamiento del usuario, que es quien en algunas ocasiones, de forma involuntaria, “contribuye” a que un ciberdelincuente se salga con la suya y logre realizar el engaño. Por lo tanto, la clave es la precaución del usuario final, que tiene el poder de frenar la propagacióm de una campaña.
¿Cómo puede esto afectar a la seguridad informática?
La respuesta es simple: con todas las herramientas informáticas disponibles y al alcance de cualquier persona, la posibilidad de realizar ataques se facilita. ¿Qué sucede, por ejemplo, cuando combinamos la curiosidad humana con la explotación de una vulnerabilidad en un sistema informático? Un atacante puede obtener el control de un equipo, o podría robar información sensible como datos bancarios o información personal.
Una de las personas más reconocidas en el mundo informático es Kevin Mitnick, quien se caracterizó por ser uno de los pioneros en técnicas de Ingeniería Social. Mitnick considera que el factor que determina la seguridad del hardware y el software es el factor humano, es decir, el usuario. Este es quien se encargará de interpretar las políticas de seguridad correctamente y buscará que se respeten.
Considerando que es posible fallar en este aspecto y que un ataque de Ingeniería Social puede tomar desprevenido a cualquier usuario, y teniendo en cuenta también que incluso es posible que sea llevado a cabo solamente con ayuda de un teléfono, Mitnick establece 4 principios comunes que aplican a todas las personas:
Todos queremos ayudar
Siempre, el primer movimiento hacia el otro, es de confianza
Evitamos decir NO
A todos nos gusta que nos alaben
Estos métodos de manipulación, basándose en la confianza del usuario, son los que conducen a engaños como phishing, páginas con códigos maliciosos alojados esperando infectar a sus víctimas, o robo de información, entre otras cosas. Como les contábamos hace algunas semanas, 37.3 millones de usuarios reportaron ataques de phishing el año pasado.
La evolución de las técnicas de Ingeniería Social
Es increíble ver cómo han evolucionado hasta la fecha los ataques de este tipo. Algo que en sus inicios comenzó siendo una impersonalización vía telefónica, hoy busca hacer una experiencia imperceptible al usuario.
Los comienzos de esta técnica se basaban en llamadas telefónicas, haciéndose pasar por entidades que brindan un determinado servicio. La finalidad de este llamado era recabar información sobre la víctima. Con la llegada de Internet a cada hogar, comenzaron a aparecer técnicas de Ingeniería Social vía clientes de mensajería instantánea. Comenzó a ser muy común el famoso mensaje mediante Messenger “Fotos_para_adultos_de_alguien.rar”. Enviando código malicioso a los contactos de la cuenta, hubo muchos casos de infección mediante esta técnica.
Hoy en día, los ciberdelincuentes buscan engañar a sus víctimas para que entreguen voluntariamente su información personal. La mutación se dio no sólo hacia sitios web, sino también se ha transformado en mensajes de texto, y cualquier tipo de mensajería móvil. La importancia de este vector de ataque radica en que estos dispositivos móviles almacenan gran cantidad de información personal, como contactos, fotos, conversaciones, usuarios y contraseñas de redes sociales, de correos electrónicos, inclusive geo localización.
También han aparecido técnicas como pharming, muy similar al phishing, pero que en vez de engañar al usuario mediante un enlace enviado por correo electrónico, busca el robo de información mediante la modificación en tiempo real de las consultas realizadas a los servidores DNS o mediante la toma de control del equipo víctima; así, modifica el archivo lmhost, que se encarga de resolver las consultas web, asociando la dirección IP al dominio.
Distinguiendo una noticia real de una falsa
Ahora bien, pensemos cómo un ciberdelincuente logra (o intenta lograr) que su campaña de propagación de amenazas tenga éxito.
Uno de los factores más aprovechados son las temáticas populares de actualidad. En el Laboratorio de Investigación de ESET Latinoamérica, hemos podido detectar e investigar campañas que utilizaron noticias, personas y sucesos de relevancia como gancho para captar víctimas. A continuación recordaremos 6 campañas destinadas a usuarios de Latinoamérica:
Mundial de fútbol Brasil 2014: una campaña buscaba robar información bancaria prometiendo entradas para asistir a los partidos de la Copa.
Supuesto video íntimo de la hija de Sebastián Piñera: un correo electrónico promocionaba un video de Magdalena, la hija del expresidente chileno, que sólo descargaba un troyano.
Alerta de terremoto en Ecuador: un email prometía imágenes satelitales que sólo descargaban malware.
¡Michael Jackson está vivo!: el falso archivo sólo descargaba un troyano diseñado para convertir la computadora en un zombi que formará parte de una botnet.
Romance entre Shakira y Alexis Sánchez: el falso video descargaba un troyano que modificaba los archivos hosts de la computadora afectada para hacer redirecciones.
Ricardo Martinelli acusado de abuso: nuevamente un email prometía un falso video del presidente de Panamá que descargaba un troyano.
Por eso es importante que estés atento ante sucesos de esta masividad, y que tengas en cuenta que es muy probable que los cibercriminales los utilicen para tratar de engañar a los usuarios.
Sólo es cuestión de estar alertas
Lo más importante de todo esto, es que no debemos ser paranoicos a la hora de usar un equipo informático. Existen peligros reales y por eso los compartimos con ustedes, para que tomen los recaudos necesarios y así puedan navegar tranquilos, haciendo un uso consciente y responsable de la tecnología.
Recuerden las premisas de seguridad que aplican en la vida cotidiana, como por ejemplo: si no hablas con desconocidos en la calle, ¿por qué lo harías en Internet? Tengamos en cuenta que a pesar de los peligros que existen en las calles, seguimos saliendo, porque confiamos en que estamos tomando los recaudos necesarios para que no nos pase nada. Bien, en Internet sucede lo mismo: no todo el mundo es quien dice ser, y nunca sabemos cuáles son sus intenciones reales, pero es posible tener una experiencia segura, si se siguen buenas prácticas como las siguientes:
En primer lugar, usar soluciones de seguridad como antivirus, que prevendrán infecciones mediantes exploits o códigos maliciosos, entre otros.
No aceptar en redes sociales a gente desconocida. La variedad que ofrece la tecnología permite, por ejemplo, preguntarle a un contacto mediante Whatsapp si nos agregó realmente para saber si es quien dice ser.
Ser cuidadosos con los correos electrónicos recibidos de remitentes desconocidos: pueden robar información y estar infectado con archivos maliciosos adjuntos.
Descargar aplicaciones de su fuente original. Esto evitará las infecciones en el equipo.
En conexiones libres como en bares, cafés y lugares públicos, es bueno tener en cuenta no usar servicios que requieran información sensible como usuario y contraseña. Algo que podría ayudarte si necesitaras estos servicios, es el uso de VPN, que enviará todas las comunicaciones cifradas.
La siempre mencionada política de crear contraseñas robustas y fuertes, va a prevenir ataques. Puede resultar un poco tedioso tener diferentes contraseñas para los servicios utilizados, pero se pueden usar aplicaciones gestoras de usuarios y contraseñas; información que es almacenada en un archivo cifrado.
En sitios web que requieran información de usuario y contraseña, chequear que utilizan https en lugar de http.
Con estas prácticas, podrán usar Internet sin tantas preocupaciones; la responsabilidad y el sentido común, junto con las buenas prácticas a la hora de navegar, harán que las campañas de Ingeniería Social no tengan el éxito que los cibercriminales esperan.
Ingeniería social: Hackeando el Sistema Operativo Humano
En el campo de la Seguridad, la ingeniería social podría considerarse como la ciencia y arte de hackear la mente humana, ya que se basa en explotar las debilidades humanas para obtener información o convencer a la víctima en realizar alguna acción que comprometa su seguridad.
En los últimos años ha aumentado su popularidad debido al crecimiento de las Redes Sociales y otras formas de comunicación en línea que facilitan a los ciber-delincuentes acceder a los datos con las victimas con mayor facilidad.
Aunque no nos demos cuenta, los idiomas tienen sus puntos débiles ya que están sujetos a una experiencia subjetiva que distorsiona las cosas.
La mayoría de los ciberdelincuentes saben que es más sencillo utilizar la ingeniería social
La programación neurolingüística o PNL se inventó para fines terapéuticos pero, actualmente, ha evolucionado a una forma de hipnosis que utilizan los ingenieros sociales como herramienta para manipular a sus víctimas, quitándoles su contraseña, información confidencial, etc.
El deseo de toda persona de reciprocidad (si te hago un favor espero que tú me hagas otro), de aprobación social (confiamos en los juicios de la mayoría), de autoridad (por ejemplo, al tener confianza en la policía, un médico, un técnico de soporte…) y otros tantos son formas universales para entendernos con otros seres humanos. Además, incluso existen páginas web con información valiosa donde aprender técnicas para engañar a las víctimas.
Un ingeniero social sabe qué botones pulsar para conseguir una conducta deseada en un usuario.
Inventa un contexto o una historia 100% creíble para controlar la interacción con la víctima. En una fracción de segundo, son capaces de conseguir lo que buscan este tipo de personas. Si viste la película “Atrápame si puedes”, podrás hacerte una idea de qué son capaces los ingenieros sociales cuando tienen un objetivo en mente.
Por ejemplo, no debes revelar tu contraseña por teléfono o darle a un empleado de soporte técnico tu contraseña para arregle ciertos desperfectos. ¡Presta atención a estas cosas! ¡Se cuidadoso!
SocialEngineer.org, es una plataforma que provee teoría sobre el funcionamiento de cada ataque y ejemplos que aclaran cada uno de los conceptos.
Es necesario conocer los trucos que utilizan los delincuentes, para evitar ser víctimas.
Uno de los métodos más usados para obtener información confidencial es el phishing
Este fraude informático utiliza los principios de la ingeniería social para robar datos a la víctima. A continuación explicare como funciona y que debemos hacer para evitar caer en este truco.
La victima recibe un email, SMS u otro tipo de mensaje, con un argumento creíble donde convence a esta de que ingrese en una página web del banco u otro sistema que
o realice cierta actividad (entrar en una website falsa, hacer clic en un enlace malicioso… etc.) que permita al atacante seguir con su plan.
En el pasado, el usuario se percataba casi de inmediato si su equipo estaba infectado porque el equipo se comportaba de forma extraña. Hoy en día, el malware accede al sistema y permanezca oculto hasta que tenga que entrar en acción.
La educación es uno de los mecanismos de defensa más importantes para los usuarios. Entre los trucos más populares se encuentran las actualizaciones falsas de Flash Player, los archivos ejecutables dentro de documentos Word y las copias de baja calidad de navegadores legítimos como Internet Explorer.
Un gran número de ataques está dirigido a Latinoamérica
El motivo se debe, principalmente, a que la mayoría de la población de esta región desconoce estas amenazas tecnológicas y, además, sus sistemas informáticos suelen tener software sin actualizar.
Hasta hace muy poco, las entidades bancarias apenas disponían de medidas de seguridad para las cuentas online y existen, todavía, muchos agujeros por donde se puede colar un ingeniero social.
El “secuestro virtual” usa la ingeniería social para hacer creer a una familia que uno de sus miembros ha sido secuestrado y, así, reclamar un rescate.
En Latinoamérica, donde este tipo de crímenes son lamentablemente bastante habituales, los delincuentes explotan las debilidades humanas (urgencia y miedo) para conseguir su botín.
Es importante recordar que cualquier información nuestra que publicamos en las redes sociales (Facebook, Twitter, Foursquare, etc.) puede ser una pista significante para los cibercriminales, allanándoles el terreno para desarrollar tranquilamente sus fechorías. Incluso nuestra lista de favoritos de Amazon puede ser la entrada para un ataque de ingeniería social.
Como se ha mencionado anteriormente, es imprescindible instalar un buen producto antivirus si solemos navegar en Internet habitualmente. Aconsejamos estar informados de las últimas amenazas cibernéticas para intentar no caer en la trampa (tanto offline como online). Todos los dispositivos tecnológicos y los mecanismos de defensa son inútiles si no sabemos utilizarlos y no somos conscientes de que los chicos malos siempre están a nuestro acecho.
Estas son las estafas de Ingeniería Social mas conocidas
El crimen está en constante evolución y debemos ser precavidos. En su mayoría las que no aparecen aquí son variantes de alguna de estas:
Estafa Nigeriana
Esta estafa data de 1920 y es conocida por “419”; sin embargo, hasta ahora existen varias denuncias de este caso. La víctima recibe un correo de supuestos funcionarios pertenecientes al gobierno de Nigeria que dicen tener cierta cantidad de dinero en el banco de ese país pero que no pueden cobrarlo. Así que le dicen a la persona que le darán un porcentaje del dinero si es que ella asume las deudas legales en la que ellos están inmersos.
Otra variante de esta modalidad es el caso de una señora cuyo esposo falleció y dejó una fortuna que quiere compartirlo con usuarios de la red. (Ver mas detalles)
Pagos anticipados por préstamos o tarjetas de crédito
Una empresa bancaria informa a la persona que la tarjeta de crédito o el préstamo que ha solicitado ha sido aprobado, pero antes de darles lo prometido, la supuesta empresa solicita al cliente un pago previo.
Creo que en situaciones como estas, las personas debe preguntarse si existe algún banco que cobra por adelantado. Si es que duda, le comentamos que ninguna entidad bancaria puede hacer eso.
Falsas loterías
Llega un correo de una lotería que es de otro país y que la víctima nunca ha jugado. En el mensaje se le informa que su correo ha sido elegido entre otros miles y que tiene que enviar una cierta cantidad dinero para los costos de envío del premio.
En algunas situaciones, los correos vienen respaldados de “ejecutivos” de empresas como Microsoft, mas es una total mentira.
Suplantación de identidad o Phishing
Se considera la modalidad más extendida en la red que consiste en pedir a los usuarios que compartan información personal como nombre, edad, país, correo electrónico o contraseña.
Para ello le pueden decir que su cuenta quiere ser hackeada, necesita ser actualizada, o se encuentra cerrada. Le piden que ingrese a un enlace pero usted no lo haga, pues al ingresar a esa página le pedirán información confidencial. Y con la información podrían realizar actividades ilícitas haciéndose pasar por usted.
Se asegura que en este tipo de casos el 5% de las personas comparten sin previa consulta sus datos personales.
Fraude sobre SMS y llamadas
Las personas engañadas bajo esta modalidad pueden recibir mensajes de texto o llamadas de personas que aparentemente son conocidos. Incluso invitan a sus víctimas a tomar un café o a encontrarse en algún lugar. Si te sucede algo parecido, ten cuidado, ya que puedes resultar lastimada por estas personas.
Robo de datos por medio de páginas web falsas
Este tipo de estafas es más frecuente en el caso de cuentas bancarias. Muchas personas cuando quieren consultar su estado de cuenta, generalmente, no escriben el enlace de la página web de la entidad bancaria en la barra de Internet, sino que hacen uso de un buscador. Esta acción no es recomendable, ya que desde los buscadores probablemente puedes ingresar a una página clonada.
Si ingresas tu usuario y contraseña a estos sitios es casi seguro que tus datos serán robados, el cual les permitirá ingresar a tu cuenta para realizar transacciones sospechas. Para evitar eso, lo más recomendable es que escribas tú mismo en la barra de enlace la dirección del sitio al que quieres ingresar sin ayuda del buscador.
Artículo de venta de sobrepago para estafa
Si realizan en la venta de objetos caros, como los automóviles. Usted puede estar vendiendo un auto en Internet y de pronto encuentra a alguien que quiere comprarlo a un precio más alto de lo que usted pide.
El estafador le enviará la orden de pago, supuestamente autorizado por un banco, el cual resulta falso pues la entidad no autorizó nada. La persona pierde el auto y ganará una deuda enorme con el banco.
Búsqueda de empleo sobrepago estafa
Se recibe una oferta de trabajo de una empresa extranjera que asegura tener problemas para el pago de clientes en el país del usuario. Supuestamente contratan a la persona para que dé solución a los altercados financieros. Los estafadores le pedirán a usted su número de cuenta e incluso le darán un número de cuenta en donde tiene que hacer el giro del depósito.
El problema viene empieza al brindar tus datos personales o el número de tu cuenta pues le llegarán cheques sin fondo y ello te ocasionará problemas con el banco. Otra situación es que se pide dinero por adelantado para cerrar contrataciones laborales o garantizar el envío de temas para desempeñar el puesto de empleo. También en ocasiones se le pedirá que llamen a un teléfono, cuya tarifa es bastante alta.
Donaciones o ayuda para desastres naturales falsos
Luego de un desastre como un tsunami o un terremoto, las personas se interesan por ayudar a los sobrevivientes mediante algún tipo de ayuda.
Si hablamos de donaciones, las personas fraudulentas crean página de instituciones inexistentes o incluso reconocida para recibir las donaciones. Pero la ayuda no llegará nunca a los damnificados.
Por ello, lo más recomendable es que averigües las actividades anteriores de esa institución y en caso se reconocida entonces lo preferible es que te cerciores si verdaderamente están llevando una colecta en pro de los afectados.
Estafas de viajes
Si te llega un correo ofreciendo la venta o el alquiler de un inmueble cómodo a un buen precio para disfrutar de sus vacaciones en el extranjero, no hagas caso de ello. Ya que lo característico de este fraude es que la promoción está vigente hasta ese día.
Otra modalidad son las llamadas persistentes para ofrecerles ofertas de viajes, pero lo que no le dicen es que la residencia es cara y además los servicios que le prometían no serán realmente lo que le dijeron. En caso pida reembolso o cancelar el viaje será una pesadilla total, ya que perderá su tiempo.
Lo más recomendable es asegurar que el beneficio que te ofrecen exista y provenga de una empresa confiable.
Los email cadena “Gana dinero”
Consiste en recibir un mensaje electrónico, en donde le pedirán que envíe dinero a la primera persona que aparece en la lista de correos prometiéndole que cuando su nombre esté primero recibirá mucho dinero.
Más lo que no sabe usted es que la lista es manipulada para que el nombre del estafador o de sus amigos aparezcan siempre en los primeros lugares. Si llega a participar tenga en cuenta que le puede traer acusaciones de fraude.
Convierte tu ordenador en una máquina de dinero de decisiones
Se busca que las personas envíen dinero si es que quiere descargar un programa para obtener ganancias con su máquina. Una vez hecho eso obtendrá un único ID y el estafador le pedirá información de su cuenta para que le hagan el depósito del dinero que “ganará”.
El programa hará que se abran varias ventanas publicitarias, a las cuales tendrá que hacer click, su computador se dañará y el dinero prometido no llegará.
Inversión de dinero en un negocio falso
Esta estafa es conocida como Ponzi y es un fraude para invertir. Se le da a la persona la “oportunidad” de invertir en un programa o negocio. Pero lo que sucede es que el dinero se usa para pagar las inversiones mayores. Es decir, el dinero que usted aporta sirve para pagar a otras personas y no verá los frutos de su inversión.
Hazte millonario rápido
Estos fraudes ofrecen la oportunidad de ganar mucho dinero a la semana sin hacer ningún tipo de trabajo. En las ofertas le darán a conocer todos los beneficios del trabajo, mas no explicarán en qué consiste.
Compras en línea
Se encuentra muchas ofertas de artículos en Internet y esto es aprovechado por los delincuentes. En esta forma de estafa se venden gadgets tecnológicos, smartphone o autos. Se suele pedir dinero por adelantado pero el anuncio es falso, y es casi seguro que la página de tienda online haya sido clonada. La persona realizará la compra del objeto pero no recibirá la mercancía. En caso realice la compra con su tarjeta de crédito es probable que le roben los datos de su cuenta.
Estafas de software de seguridad no autorizado
Este software es más conocido como “scareware”, pude ofrecer una seguridad limitada o en todo caso ninguna. Esta estafa pueden aparecer en redes sociales, buscadores o ventanas emergentes de su equipo a manera de mensajes de un falso virus. El programa ocasiona alertas engañosas, intenta que participe en transacciones fraudulentas y daña su equipo.
Oportunidades de Negocio y Timos del tipo “Trabaje desde su propia casa”
Se ofrece a las personas la posibilidad de trabajar desde casa. Para lo cual tendrán que realizar la compra de una máquina. Las personas realizan la compra porque piensan que el accesorio es necesario para el trabajo, pero la verdad es que su compra era innecesaria.
Fraudes telefónicos
En este caso le piden a los clientes que bajen un programa para poder acceder totalmente gratis a la red. Sin embargo, las personas no saben que el software marca un número internacional que incrementa el costo de la factura de la telefonía de su hogar.
Fraudes en recomendaciones sanitarias
Existen miles de recetas que juran curar cualquier tipo de enfermedad y pueden engañar a personas desesperadas que tienen un pariente enfermo. Muchas de las prescripciones no tienen un respaldo médico y hacerles caso podría ocasionar resultados trágicos.
Consejos para no ser víctimas de la Ingeniería Social
Ten precaución al momento de brindar tus datos a terceros.
No des siempre por sentado que la persona que se encuentra al otro lado de la red es la persona que dice ser, pues muchas cuentas son robadas diariamente.
Duda de las ofertas, promociones o concursos realizados por entidades o personas desconocidas.
Si te piden que llenes una encuesta o realices una llamada costosa no lo hagas.
Si piensas realizar alguna compra exige que te envíen un documento que asegure el envío y declare el valor real del paquete.
No realices compras si no tienes estas garantías así diga ser una empresa conocida.
Si te llega un mensaje pidiendo que rellenes un formulario, no respondas ni rellenes tus datos personales, pues esta es la forma más frecuente para robar claves bancarias. En caso tengas dudas, comunícate directamente con el banco.
Revisa constantemente tu cuenta y busca ayuda de la entidad bancaria para ver qué medidas de seguridad te pueden brindar.
Con las ofertas de empleo, haz caso omiso a ofertas que te piden dinero por adelantado y siempre verifica que el nombre de la empresa, que te envía el mensaje o correo, aparezca en el enlace de la página.
Cuando usted sospeche que alguien ha robado su identidad en Internet cambie las contraseñas de las cuentas que considera han sido suplantadas.
Ten el antivirus actualizado y actualizar el sistema operativo.
Recuerda que hay muchas formas de utilizar Internet y las redes sociales, y muchas personas maliciosas los utilizan con fines delictivas. Así que te recomendamos estar más informado respecto a este tema y hacer caso de los consejos que te brindamos para evitar ser victima de los ciberdelincuentes.