La Ingeniería Social

Un concepto poco conocido por los usuarios de la red.  La ingeniería social consiste en ganarse la confianza de la víctima para obtener información sensible o confidencial.  El atacante se acerca a la víctima de varias formas:

• Sistemas de mensajería instantánea tales como MSN Messenger, AIM, Yahoo Messenger, Google Talk, ICQ, entre otros.
• Sitios de Chat pùblicos.
• A través de correo electrónico.
• Vía Telefónica.

Dependiendo de la víctima, el proceso de ingeniería social puede ser elaborado y lento.  Conforme se van frecuentando los contactos entre el atacante y la víctima, se va desarrollando confianza que luego el atacante usa a su favor para obtener información sensible.  Para prevenir este tipo de ataques, puede seguir los siguientes pasos:

• Nunca brinde información de acceso a sus cuentas bancarias por ningún medio.  La persona que lo ha contactado podría estar haciendose pasar por personal del banco y podría utilizarla la información de forma indebida.
• No brinde información de tarjetas de crédito a terceros.  Las compras por internet las puede realizar si considera que el sitio es confiable y ofrece mecanismos de protección de datos seguros (encriptación).
• Aún cuando son contactos de confianza (por ejemplo familiares), tenga cuidado.  Podría ser que la cuenta de su contacto se vio comprometida por un atacante que está sustituyendo su identidad (concepto conocido como spoofing).
• Si tiene que transmitir información sensible a algún contacto de confianza, es preferiblemente que lo haga en persona.  Lo información que se transfiere por internet, puede ser vista por terceros sin que ninguna de las partes se de cuenta.
• Finalmente, si sospecha que información sensible ha sido comprometida repórtelo a las autoridades respectivas, cambie las contraseñas de los servicios que utiliza y de ser necesario reporte como robada la tarjeta de crédito o débito comprometida.  No tarde, cuánto más pronto tome las medidas correctivas, menor será el riesgo de ser víctima de estafa.

Phishing

El término phishing se refiere a la acción de engañar a usuarios de un servicio para introducir su información de acceso, tarjetas de débito o crédito entre otros en un sitio ilegìtimo para cometer estafas.  En este método, al usuario se le envían correos electrónicos haciendose pasar por la entidad financiera, o sitio web que utiliza.  Estos correos son bastante elaborados y usualmente inducen al usuario a hacer click en un enlace que los lleva a la supuesta página de la entidad.  No obstante, la página es falsa y resulta ser una copia del sitio verdadero, muchas veces no se puede distinguir la diferencia con el sitio original y el usuario introduce sus datos confidenciales sin sospechar que se trata de un engaño.  Luego esta información es usada por el atacante para realizar compras en comercios o transferir dinero a terceros.  El phishing básicamente se enfoca en dos tipos de sitio:

• Entidades financieras.
• Comercio electrónico, tal como Amazon o Ebay.

Para evitar ser víctima de este tipo de ataque, es recomendable seguir los siguientes consejos:

• Hacer caso omiso de cualquier tipo de correo electrónico que reciba por parte de la entidad que ofrece el servicio pidiendo datos confidenciales.  Ninguna compañìa va a pedir ese tipo de información.  Borre el correo inmediatamente.
• No usar links para visitar la página web de la entidad financiera o el comercio electrónico.  Estos pueden ser disfrazados y aunque parezcan legítimos puede ser que envíen al usuario a una página ilegítima.  Mejor digite el nombre de la página web directamente en el navegador.
• Utilice algún filtro anti-phising. Los navegadores más usados como Internet Explorer y Firefox ya traen incorporado un filtro que revisa si el sitio que visita es legítimo o no.  Si prefiere puede usar servicios de terceros como el monitoreo de fraude ofrecido por Symantec en su paquete Norton 360, o el servicio SiteAdvisor ofrecido por McAfee.
• Si fue víctima de engaño, reporte inmediatamente el incidente a fla entidad correspondiente para que cierren el sitio.  Adicionalmente, cambie las contraseñas de acceso comprometidas y de ser necesario reporte la tarjeta de crédito o débito comprometida como robada.  Recuerda hacer esto en el menor tiempo posible, así el atacante tendrá menos oportunidad de usar la información obtenida para cometer una estafa.

 Conclusión

Aunque existen algunas herramientas como el filtro de sitios ilegítimos, todos los días aparecen nuevas páginas web fraudelentas y es posible que no estén todas registradas.  Además, la ingeniería social no puede ser prevenida por alguna herramiente de software o hardware, así que el usuario es el que tiene el papel principal para evitar ser víctima de estafa.  Si tiene duda de algún sitio que vaya a visitar, mejor consulte con expertos, por ejemplo llame a su entidad financiera para verificar que el correo electrónico recibido sea legítimo.