Cómo estar seguros

El campo de la ciberseguridad se va extendiendo día a día. Se necesitan cada vez más perfiles en este ámbito precisamente porque cada día hay más ataques. Y si bien es cierto que muchos de estos son llevados a cabo por profesionales y requieren de medidas especiales para contrarrestarlos, muchos otros son fácilmente evitables.

Sobre todo en el mundo de oficina, hay ataques muy típicos y fácilmente evitables, pero que se realizan con éxito al no tener conocimientos suficientes o al ir sin cuidado. Es por eso que vamos a ver distintos ataques que se realizan de manera sencilla pero que pueden ser muy perjudiciales, y cómo evitarlos.

Ingeniería social:

La ingeniería social es lo que más se utiliza a la hora de realizar ataques. Esto es, usando ciertas capacidades sociales y de engaño, conseguir que nuestro objetivo caiga en la trampa. Y seguro que lo que veremos a continuación nos parecerá lógico de evitar pero por desgracia las pequeñas y medianas empresas sufren de estos ataques de manera constante.

Obtener información mediante correos:

De los ataques más básicos que existen de ingeniería social son los correos electrónicos. Esto es, hacerse pasar por una persona de la empresa, por ejemplo, para pedirle información a otra. Desde pedir la contraseña del WiFi, o la de un usuario, hasta pedir nombres de personas del departamento de sistemas, para poder utilizar estos nombres como correos que enviarán más tarde para hacerse pasar por ellos. Este tipo de ataques dependen sobre todo de la imaginación del atacante.

Hay muchas herramientas que permiten enviar un correo con una dirección “falsa”. Por ejemplo, nos puede llegar un correo de rrhh@nuestraEmpresa.es, correo el cual puede existir realmente. Por un momento pongámonos en la piel de este caso específico: el departamento de recursos humanos. ¿Es normal que nos pidan información como contraseñas o datos, por correo?

En estos casos, lo más fácil es ir personalmente a preguntar sobre eso. Si resulta que el correo electrónico era suyo de verdad, podemos responder tranquilamente o hablarlo en persona.

Enlaces maliciosos:

Este ataque es más común de lo que parece. Este tipo de ataques se conocen como Cross-site request forgery. En un correo electrónico nos llegará un enlace en el cual al pinchar, al ser nosotros usuarios no maliciosos, va a ejecutar ciertas acciones en nuestro ordenador.

 

Un ejemplo de esto es que puede forzarnos a descargar un archivo que se va a ejecutar en nuestro equipo sin darnos cuenta. Y según lo que nos descarguemos, puede tener muchas consecuencias: desde formatear todo el equipo hasta darle toda la información de usuarios y contraseñas de nuestra red. Peligroso, pero simple.

Lo más importante de saber es que estos enlaces suelen ser muy parecidos a los originales:

Puede parecer que “apple” y “appIe” sean lo mismo, pero uno está escrito con L minúscula y otro con i mayúscula (“apple” y “appie” si lo pusiéramos todo en minúscula). Nos pueden llegar correos de necesidad de cambiar la contraseña de nuestro dispositivo Apple, igual que de nuestra empresa, o incluso del equipo. Por eso, si nos llega este correo lo mejor es no pinchar en el enlace. Debemos ir nosotros al navegador e ir al enlace de Apple, nuestra empresa o sea cual sea el caso específico. Si no, puede ocurrir lo siguiente: nos va a llevar a una página falsa que es estéticamente idéntica a la oficial. Pondremos nuestro usuario y contraseña para iniciar sesión y proceder a cambiar la contraseña.

En el momento en que le damos a iniciar sesión, nuestra información se envía al atacante, y la página falsa nos lleva a la página oficial de Apple donde tendremos que iniciar sesión otra vez. El usuario (nosotros), se quedará pensando qué ha pasado y por qué tiene que repetir el proceso pero al repetirlo e iniciar sesión correctamente, le quitará importancia. Y el atacante ya tiene nuestros datos. Puede cambiar la contraseña antes que nosotros y perderemos el acceso.

Bating:

Como su nombre indica en inglés, este ataque se va a basar en dejar un cebo y esperar a que la víctima del ataque lo coja. Para ello, se dejará por algún lugar de la empresa un USB infectado. Realmente da igual donde. Se puede dejar en la mesa de alguien, o en una mesa de la cafetería de la empresa, el baño, etc. Lo importante es que alguien lo vea.

Ese USB está preparado para ejecutar acciones maliciosas en el momento en que se conecte al ordenador. La persona que se encuentre ese USB querrá saber de quien es, para devolvérselo. Y la manera más fiable de hacerlo es meterlo en el ordenador para poder ver documentos que puedan mostrar el nombre del dueño. Y este ataque puede provocar un bloqueo del ordenador, instalación de un código malicioso o incluso filtración de información del ordenador.

Hay varias maneras de evitar cualquier tipo de ataque mediante este método. Lo deberíamos poner en un ordenador que no sea usado de manera habitual en la empresa, y a poder ser, que no esté conectado a internet (ni tenga las claves WiFi recordadas). De esta manera, si es un ordenador cuyo uso es trivial y le sucede algo, no sufriremos ningún tipo de consecuencia ya que el ataque habrá sido inútil. Al no estar conectado a internet, no se habrá podido compartir la información con el atacante, y al ser de poco uso, si hay un bloqueo, no provocará dolores de cabeza a nadie.

Por desgracia, al obtener información confidencial, la empresa se arriesga a ser victima de cualquier potencial ataque futuro y fraudes digitales. Hay que tener mucho cuidado con los correos, ya que de todas las pérdidas que se pueden sufrir por estafas, la cuarta parte son debido a estos correos estafa.

Daño a la imagen:

No es únicamente la pérdida económica lo que puede perjudicar a una empresa. Haber sido víctima de un ataque es algo que puede dañar la imagen de la propia empresa, perdiendo la confianza que sus clientes pueden tener en ella.

Volver a ganar la confianza no es tarea fácil. Y demostrar que esta no va a volver a sufrir un ciber ataque es más difícil aún. Es por eso que si se cuentan con medidas preventivas, como conocimientos por parte de los empleados para intentar evitar este tipo de ataques, la empresa ganará mucho de cara a futuro.

 

Artículo realizado por Mario Cavero, Cálculo SA