ESI UCLM
HomeOpiniónEn Internet, no te dejes engañar

En Internet, no te dejes engañar

Profesor David García Rosado esi uclm

En Internet, no te dejes engañar

Por David García (Profesor Titular de Universidad)

El constante uso de internet a cualquier hora del día hace de la red un elemento imprescindible en nuestras vidas. El auge y la utilización masiva de aplicaciones y servicios en internet para todo tipo de necesidades (compras, banca, educación, ocio, etc.) ha hecho que las personas cambiemos nuestros hábitos tanto sociales como profesionales, haciendo que todo fluya alrededor de internet.

Este uso masivo de la red no está exento de peligros, y eso lo saben muy bien los ciberdelincuentes que son atacantes que buscan aprovecharse de los fallos de seguridad de las aplicaciones y de los despistes de los usuarios para sacar algún tipo de beneficio, ya sea económico, ideológico o por venganza. Hay que distinguir entre “hacker” y “ciberdelincuente”, ya que la palabra hacker está mal usada por la sociedad en general (ayudado por la multitud de películas y series de televisión que casi siempre les da un significado negativo), atribuyéndole cualidades dañinas. Un hacker es una persona con amplios conocimientos en seguridad informática (igual que un ciberdelincuente) pero su objetivo es buscar mejorar la seguridad de las aplicaciones, informar y solventar los errores encontradas para protegerlos de posibles ataques provocados por los ciberdelincuentes. Por lo tanto, la distinción entre un hacker y un ciberdelincuente está prácticamente en la motivación que tengan, o ayudar a solucionar problemas (los primeros), o sacar beneficios (los segundos).

Los ciberdelincuentes tienen amplios conocimientos sobre seguridad informática y, además, hacen uso de herramientas preparadas para facilitar los ciberataques, haciendo más o menos sencillo robar tus datos almacenados en tu dispositivo, o lanzar ataques más sofisticados a empresas y grandes compañías para robar una mayor cantidad de datos e información que podrá ser vendida a terceros o usadas para chantajes o extorsión. Bien conocido fue el ciberataque al SEPE en el 2021, pero también sufrieron ciberataques la Agencia Europea del Medicamento en plena pandemia, empresas como Adif, Mapfre, o también el muy conocido ataque a Telefónica en 2017 por un ransomware (cifrado de todos tus datos y solicitud de un rescate para poder recuperarlos). Pero no sólo las empresas son atacadas, cualquiera puede ser víctima de un ciberataque, y para llevar a cabo dichos ataques, una de las técnicas más utilizadas por los ciberdelincuentes es la ingeniería social.

La ingeniería social o arte del engaño consiste en engañar o manipular a las personas para conseguir su información personal, como contraseñas y datos bancarios, o para obtener el acceso a sus equipos con el fin de instalar software malicioso o malware de forma inadvertida, para así apropiarse y tener el control de nuestros dispositivos y poder tener acceso a cualquier información que tengamos almacenada incluso al uso de las aplicaciones instaladas en nuestros dispositivos. Lo que pretenden es captar nuestra atención con algún reclamo para que actuemos de una determinada forma. Si un ciberdelincuente quisiera que pinche en un enlace para que descarguéis un virus en vuestro ordenador, ¿qué utilizará como reclamo? a) “Pincha aquí para descargarte un virus [enlace]”, o b) ”El Estado dará ayudas si eres mayor de edad [enlace]“. Está claro que la segunda opción es más atractiva y despierta más interés haciendo que las personas pinchen en el enlace malicioso y piquen en la trampa. Este tipo de ingeniería social o engaño puede aparecer en los correos electrónicos, mensajes instantáneos o redes sociales y suelen utilizar excusas como desastres naturales, noticias sobre famosos, ofertas de productos a precios bajos, multas de tráfico, problemas de seguridad en las cuentas bancarias, notificaciones de la Agencia Tributaria, o envíos de facturas electrónicas.

Para prevenir este tipo de engaños es conveniente seguir estas recomendaciones: 1) No facilitar nunca nuestras contraseñas a nadie, ni compartirlas por correo electrónico o redes sociales; 2) Jamás proporcionemos nuestros datos personales ni bancarios por internet aunque nos lo soliciten por correo electrónico o por teléfono; 3) Si añadimos información privada o sensible en una página web, asegurarse que la página web o url es correcta (por ejemplo, esta url “http://sede23.agenciatributaria.234gob.es” es sospechosa al tener una serie de números a caracteres extraños, lo mejor es escribir o buscar el enlace directamente en vez de pinchar en uno facilitado en un correo); 4) Nunca abramos un archivo extraño si no conocemos el remitente o no lo esperábamos, o si el mensaje tiene faltas de ortografía o está mal redactado. Además, siempre es conveniente tener copias de seguridad de los datos importantes, activar métodos de autenticación biométricos para dispositivos móviles (huella, cara, etc.) y de doble factor (como contraseña y SMS) para aplicaciones en internet (banca online, compras, etc.), y no poner la misma contraseña para todos los servicios y cambiarlas a menudo, que sean robustas (al menos 8 caracteres, alguna mayúscula, número y símbolo especial) pudiendo utilizar algún gestor de contraseñas para que se gestione de forma automática y no tener que memorizarlas.

El hombre es el eslabón más débil de la cadena, así que no se lo pongamos fácil al ciberdelincuente, si te quiere, por ejemplo, robar las contraseñas de acceso a la banca online, que tenga que recurrir a procedimientos técnicos más complejos y costosos y le lleve mucho tiempo hacerlo. Tanto la Oficina de Seguridad del Internauta (www.osi.es) como el Instituto Nacional de Ciberseguridad (www.incibe.es) te ayudan a protegerte y concienciarte de los peligros de internet.


David García Rosado

Profesor Titular

Grupo de Investigación GSyA (https://gsya.esi.uclm.es)

Escuela Superior de Informática

Universidad de Castilla-La Mancha

Comparte con:
Valora este artículo