Compártelo
Compártelo
Lunes, 17 febrero 2020 | Redacción CEU
¿Has oído hablar alguna vez de la "ingeniería social"? Detrás de este nombre pomposo se esconde lo que no es más que un ataque malicioso que abusa de la buena fe de los usuarios en el campo de la ciberseguridad. Los ciberdelincuentes que recurren a ella agudizan su ingenio con el fin de conseguir a través del engaño y la manipulación que sus víctimas hagan clic en enlaces a páginas falsas, descarguen archivos que infecten sus equipos o revelen información confidencial. Este último objetivo es el que persigue concretamente el "phishing": el robo de datos personales como información sobre nuestras cuentas bancarias o credenciales de acceso. Por esa razón es precisamente la banca uno de los sectores más afectados por esta práctica fraudulenta. ¿Qué debes tener en cuenta para no caer en la trampa del "phishing bancario"?
El phishing es uno de los ataques más comunes dentro del mundo del cibercrimen. Cuando hablamos de este ataque aludimos a un tipo de estafa que utiliza como reclamo un cebo. Con frecuencia, la trampa se coloca en forma de un mensaje enviado a través de correo electrónico, pero también se pueden esconder detrás de otros disfraces en las redes sociales, en una llamada telefónica o en un mensaje a través del móvil. Si los "peces", que no son otros más que los usuarios, pican en estos anzuelos es porque la apariencia de estas comunicaciones suele ser muy convincente.
Otra forma de phishing es aquella que afecta a las webs de usuarios inocentes. El ciberdelincuente puede encontrar fallas en la seguridad de una web de forma que esta le sirva para hacer uso de ella a la hora de suplantar a otra y enviar así mensajes trampa que sirvan de cebo (el tipo de ataques phishing que antes mencionábamos). Los propietarios de la web, así como la compañía que es copiada y suplantada, se convierten también en víctimas colaterales del ataque. Sufrir un asalto como este puede afectar gravemente a su reputación, y también puede conllevar una pérdida considerable de ventas.
¿Cómo son los ataques que suplantan bancos?
En el caso del phishing bancario, la víctima recibe un mensaje que le reclama que haga algún tipo de acción relacionada con sus datos bancarios o personales. Los ciberdelincuentes suelen enviar un correo electrónico haciéndose pasar por su entidad bancaria y solicitándole que actualice urgentemente datos como, por ejemplo, su clave de acceso a la banca electrónica. En este mensaje suele aparecer un enlace a una web que el usuario debe visitar para realizar la operación. Cuando haga clic en él, entrará en una página muy parecida a la de su banco; algo que le llevará a confiar en la misma.
Para animarle a realizar esta acción de forma impulsiva, el mensaje urge al usuario a que realice la operación de forma inmediata bajo la amenaza de que su cuenta dejará de estar operativa en caso de no proceder así. Las víctimas del engaño introducen sus datos en la página sin percatarse de están entregando directamente sus datos al estafador.
Uno de los últimos bancos en convertirse en blanco de estos ataques ha sido BBVA. No es el único. El año pasado, el Observatorio de Seguridad del Internauta también detectó campañas fraudulentas que utilizaron como señuelo entidades como Bankia, Caja Rural o ING. En 2019, los ciberdelincuentes también suplantaron compañías como Endesa, Netflix, Paypal y Correos.
Estos ataques son mucho más frecuentes de lo que a priori pueda parecer. Según un informe elaborado por Kaspersky Lab, uno de cada cinco ataques phishing tuvieron como objetivo un banco (21,7%). Se trata de un dato que por si solo quizás no dice nada, pero que es muy significativo si tenemos en cuenta que España se encuentra en el top ten de países con más usuarios afectados por ataques phishing. También cabe destacar el creciente interés de los ciberdelincuentes por el sector financiero. Están centrado su atención en objetivos como las aplicaciones de inversión y el acceso de pago a la infraestructura bancaria y también están poniendo el foco en los ataques ransomware a bancos y el desarrollo de troyanos para la banca móvil.
¿Qué hacer para no caer en la trampa?
Son muchos los usuarios que consideran que serían capaces de detectar este tipo de ataques sin problema. Sin embargo, los expertos subrayan que hay que ser precavido, pues los ataques de los ciberdelincuentes son cada vez más sofisticados. ¿Cómo podemos detectarlos?
- Poner atención no solo al correo electrónico, también a otros canales como las redes sociales o los mensajes de texto.
- Comprobar siempre quién es el remitente del mensaje: ¿utiliza una cuenta corporativa?
- Observar cómo está escrito el mensaje: si hay erratas, faltas de ortografía o una mala traducción es muy probable que sea un ataque phishing
- No subestimar la capacidad de los ciberdelincuentes para diseñar un ataque
- Sospechar siempre cuando el mensaje llame a realizar una acción en un espacio de tiempo corto, sea alarmista o extraño
- Contactar con la entidad bancaria directamente por otra vía siempre que haya dudas
- Tener en cuenta que las entidades bancarias no recurren a este tipo de mensajes para solicitar acciones como actualizar contraseñas
- Actualizar el sistema operativo periódicamente y comprobar que el antivirus esté activo
- Desconfiar de las URLs acortadas o que no se corresponden a las del servicio legítimo, y nunca hacer clic en ellas si uno no está seguro
- Comprobar que las webs usan el protocolo “https://” antes de registrarse en ellas
- No descargar un archivo si uno no está seguro de la fuente de la que procede. En caso de hacerlo, no hacer clic en "habilitar el contenido"
- Tomar las medidas pertinentes de prevención y concienciación en caso de ser una empresa (aunque sea pequeña) o un profesional autónomo o tener una página web
Quien mejor domine la tecnología, mejor entienda al consumidor, más datos tenga y mejor y más responsable uso haga de ellos se convertirá en el líder de esta nueva y apasionante etapa que tenemos por delante. Por esa razón, CEU IAM Business School imparte un Programa Directivo en Banca Digital: Innovación y Tecnología Financiera que tiene el objetivo de preparar a sus alumnos de cara a las nuevas oportunidades que ofrece la tecnología en el sector financiero. ¿Quieres convertirte en uno de ellos? ¡Solicita información sin compromiso!