8k 0

Cómo actuar de forma segura en Internet

Si tienes un Mac puedes estar bastante tranquilo en tu día a día con respecto a la seguridad, aunque hay maneras de que puedas hacer algo no debido y ponerlo en peligro. En el caso de un iPhone o iPad la seguridad es mucho mayor. Sin embargo, todo esto no te da seguridad absoluta, puedes estar en peligro sin que el Mac, el iPhone o el iPad estén comprometidos. 

La forma más sencilla es la conocida como “phishing”. Es una palabra ligeramente modificada de la palabra inglesa “fishing” que significa “pesca”.  El phishing se utiliza en informática para denominar técnicas para engañar al usuario, para pescarlo o, como diríamos en español más puro, “hacerlo picar”. Al fin y al cabo, cuando estamos pescando, estamos engañando al pez para que muerda el anzuelo, “pique” y lo capturemos.

Así es como hacen muchas veces los maleantes de Internet, hacer picar a los humanos, a los usuarios, para que caigamos en la trampa, aunque el equipo que estemos usando no se haya visto comprometido en ningún momento. 

El eslabón más débil

Los humanos, los usuarios, somos el eslabón más débil de la cadena de seguridad informática ya que somos los que, con más facilidad, nos podemos equivocar, olvidar o caer en un engaño.

Hoy en día es muy difícil, o prácticamente imposible, ser infectado por una aplicación maliciosa en nuestro Mac sin intervención humana, sin que nosotros ayudemos al “malware” a que se instale, a tenga acceso a nuestra información. Y, en iOS, la seguridad es mucho mayor, ya que los usuarios no tenemos la posibilidad saltarnos la seguridad del sistema. Por eso iOS es todavía más seguro que macOS aunque haya casos puntuales como el de Pegasus. 

Pero hay una parte más débil y a la que los malhechores les resulta mas sencillo atacar: a lo usuarios. Puedes tener la cerradura más perfecta y más fuerte del mundo que no vale de nada si le das la llave al malhechor, abrirá sin problema. Además, engañar a los usuarios suele ser más fácil que intentar romper la seguridad de un sistema informático. 

El phishing, normalmente, lo que intenta es engañarte para que le des tu usuario y contraseña. Te envían un mensaje de texto o un correo electrónico con un enlace. Das al enlace y te lleva a una web donde pones tu usuario y tu contraseña. Ahora el malhechor ya tiene tu usuario y tu contraseña y ya puede entrar en ese servicio.

El disfraz

Normalmente, un ataque de phishing es un poco elaborado para que el usuario caiga en la trampa. La web a la que te mandan es una copia del servicio del cual te quieren robar el usuario y la contraseña.

Supongamos que te quieren robar el acceso a tu banco. En ese caso el maleante hace una página web que, de aspecto, es idéntica a la de tu banco, así cuando accedes a ella te confías y pones tu usuario y contraseña como haces siempre. Ya les has dado lo que querían. 

El cebo

El cebo es muy importante para hacer picar al incauto. Normalmente juegan con las emociones humanas para que no pensemos y caigamos más fácilmente:

  • Miedo: Recurrir al miedo es algo habitual, te han bloqueado la cuenta del banco, te van a poner una multa, te van a hacer un cargo en el banco de una compra que no has hecho…
  • Curiosidad:  te mandan un mensaje con algo que te llama mucho la curiosidad, una foto donde sales tú, un mensaje que te manda alguien, un sitio donde te han visto…
  • Avaricia: te ha tocado un premio, una forma de ganar dinero fácilmente, una oferta muy barata, un chollazo,…

Es increíble ver lo bien posicionados que están artículos que te cuentan como espiar la cuenta de WhatsApp de otra persona y, es que, al final, nuestro interés en meternos donde no nos llaman es un gran gancho para estafarnos. 

Normalmente el cebo va siempre acompañado de prisa, algo que va a pasar pronto y tienes que actuar rápidamente. Así no te da tiempo a pensar:

  • Te han bloqueado la cuenta del banco y debes pulsar sobre el enlace para desbloquearla, si no se te rechazarán los pagos.
  • Te han hecho un cargo de la última compra en algo que no has hecho.
  • Te ha llegado el paquete de correos que debes recibir, algo que ni habías pedido. 
  • Se ha devuelto tu cargo de tu factura de la luz y te van a cortar.
  • Etc…

Si el cebo te lo mandan por SMS no es necesario que sea nada elaborado. Si te lo mandan por correo electrónico suele estar más elaborado para que parezca que procede de tu banco, de Correos, de tu compañía eléctrica…

El remitente

Para que el usuario caiga en la trampa es importante que se confíe con respecto a quién le ha enviado el mensaje, si es de alguien conocido pensará que es de fiar. 

Empresas u otras entidades

Si el anzuelo te lo mandan por SMS, en ocasiones, pueden poner como remitente un texto, en lugar de un número de teléfono. Ese texto puede ser perfectamente el mismo que acostumbras a recibir, por ejemplo “BBVA”, “Endesa”, etc… de modo que, la aplicación de mensajes, te los agrupa en la misma conversación, pero no tienen por que proceder el mismo remitente, es que simplemente han usado el mismo nombre. 

Si el cebo es por correo electrónico pueden usar un nombre de remitente que se parezca o sea igual a lo que estás acostumbrado, pero la dirección que hay detrás es distinta a la habitual. Si usas la aplicación Mail de Apple, puedes pulsar el desplegable que aparece a la derecha del nombre del remitente para ver la dirección desde la que te han enviado el correo. 

Es importante que te fijes en el dominio, lo que aparece detrás de la arroba @, si corresponde con el de la empresa que esperas o si hay diferencias. Por ejemplo, si esperas que proceda de “@bancosantander.es” y aparece de “@gmail.com” pues está claro que no es lo que parece. Aunque normalmente suele ser algo más elaborado y buscar algo como “@ibancosantander.es” (le han puesto una letra de más), “@bancosantander.ru” (es otro dominio), o cualquier pequeña variación en la que no te fijes. 

Es bueno que compruebes la dirección del remitente, sobre todo cuando te mandan un archivo adjunto, un enlace…

Amigos o familiares

En ocasiones puedes recibir un correo electrónico malicioso, o un SMS, procedente de un amigo o familiar. Compruebas que el remitente es perfectamente esa persona que tú conoces.

Sin embargo, es posible que esa persona no te haya enviado nada, al menos conscientemente. 

  • Es posible que los malhechores hayan conseguido el usuario y contraseña de su correo, hayan entrado y estén enviando correos desde la misma a todos los que tiene esa persona en su libreta de direcciones. 
  • Es posible que los malhechores hayan infectado el teléfono o el ordenador de ese conocido con un malware y que esté mandando correos o SMS sin que el propietario se dé cuenta de nada. 

Así que, aunque la dirección del remitente sea legítima, no quiere decir que el mensaje sea fiable. 

Esto me pasó hace muchos años: recibí un correo electrónico de un amigo donde me instaba a descargar un fichero. Aquello me hizo sospechar, pues el mensaje era muy genérico (podría valer para cualquier destinatario), no estaba referido a mi, explicando algo que hayamos vivido juntos, que me haga pensar que lo ha escrito la persona que aparentaba ser. Así que llamé al remitente y le pregunté. Se confirmaron mis sospechas, el ordenador de mi amigo estaba infectado con un virus. 

Recordemos que a día de hoy, los virus siguen estando muy extendidos en Windows y en Android, cualquier amigo o familiar podría tener uno y mandarte a ti por estar en la agenda, un mensaje con un enlace, con un adjunto… El adjunto no será un problema en tu iPhone, pero si te mandan un enlace engañoso que hace que caigas en la trampa y le das tus credenciales… habrás picado.

El phising telefónico

Aunque todo el tiempo estamos hablando de mensajería y correos electrónicos, el phising también se puede hacer por teléfono. Alguien te puede llamar haciéndose pasar por una empresa para que le des algún dato, o le confirmes algún dato. Lo más fácil es que empiecen preguntando algún dato que tengan, tu nombre por ejemplo, de modo que vas cogiendo confianza.

  • Te darán algún dato que sí tienen para coger confianza
  • Te preguntarán algún dato (que seguramente no tienen) a modo de confirmación de que eres tú, pero si caes en la trampa le estarás dando tú la información.
  • Te contarán alguna historia basada en los principios del phising: miedo (algo malo te va a pasar…), avaricia (te van a dar algo, algún premio, una oferta irresistible…), curiosidad.
  • Sobre todo, siempre prisa, para que no te dé tiempo a pensar. 

Incluso te podrían decir que te van a mandar un SMS para alguna confirmación y le debes indicar el número que te ha llegado, pero eso simplemente hará que le des alguna clave de un sistema de autenticación en dos pasos. 

Aquí es difícil que se hagan pasar por un amigo o familiar ya que tendrían que imitarle la voz.  

En resumen

La idea es engañar al usuario para que te dé la llave y no tener que forzar la cerradura. Aquí es donde tú, como usuario, debes tener cuidado y actuar de forma inteligente. 

Que un mensaje venga de un remitente conocido no quiere decir que sea legítimo, puede ser malicioso, aunque el remitente no sepa nada del asunto. Es la mejor forma de que piques. 

¿Cómo actuar ante el phising?

Siempre debes actuar con sentido común, como si fuese la vida real: 

  • Sin prisa (la prisa es tu mayor enemigo), por muy urgente que parezca el tema.
  • Nunca pulses sobre un enlace de un mensaje o un correo. Y si pulsas, en la mayoría de las veces no va a pasar nada, pero lo que no debes hacer nunca es poner ningún usuario ni contraseña en el lugar al que has accedido.
  • Revisa la dirección real de los remitentes de correo electrónico y desconfía de las webs de empresas que tengan un dominio (una dirección) distinta a la dirección que tú conoces. 
  • Ve al servicio que está aparente afectado por los medios que ya conoces. Si te avisan que tienes un problema en la cuenta del banco, ve al banco a través de tu App, o de la dirección de la web que tú conoces, nunca la que te indican en la comunicación. Incluso, si hace falta, llama por teléfono. 
  • Si alguien conocido te pide algo sospechoso, confírmalo por otra vía, preferiblemente por teléfono. Sobre todo si en el mensaje te indican que no contactes con él, es una señal de que no quieren que confirmes. 
  • Si te llaman por teléfono, nunca des datos personales, aunque parezca que están confirmando. Ni tampoco los confirmes. Si te llaman aparentemente de tu compañía de algo ya deberían tener todos tus datos. Aquí pueden veinte con amenazas de que te van a cortar la luz, el teléfono, el gas… en ese caso cuelgas y llamas tú directamente a tu compañía según el teléfono que tienes en la factura y ahí confirmas si hay o no algún problema. 
  • Intenta no buscar el teléfono de tu servicio (banco, compañía telefónica…) en Google. Google está para servir a quien le paga, los anunciantes, y en los primeros resultados siempre van a aparecer los que más pagan, que no tienen por que ser la compañía que estás buscando. No serías el primer engañado por este método. 

Deja una respuesta