Glosario de Ciberseguridad (II)

Ya que consideramos de gran importancia conocer los términos relacionados con la ciberseguridad, continuamos con esta lista para clarificar nuevos vocablos. Estas son las palabras que os traemos hoy:

• Phishing. Esta palabra se usa para aquellas estafas que buscan engañar a los usuarios para captar sus contraseñas de muy diversas cuentas y, especialmente, datos bancarios. Normalmente, esto se realiza a través del email pidiéndote clicar en un link. 

Esta estafa suele ganarse la confianza de sus víctimas suplantando la identidad de, o bien, una persona conocida por el individuo, o bien, por alguien con cierto reconocimiento (como altos cargos de determinadas empresas) o por organizaciones o compañías populares, haciéndose más fácil que el sujeto confíe en el supuesto emisor y le facilite sus datos.

Una vez llegas al sitio web del link, este parece ser un sitio oficial (por ejemplo, el portal de inicio del banco del usuario) y, una vez se “inicia sesión”, estas credenciales son usados por el atacante para robar todo el dinero posible de dicha cuenta.

Esta es, sin duda, una de las estafas más expandidas y que más pérdidas causan, pues es relativamente sencillo engañar al individuo para que pique. Aun así, pueden ser reconocidas porque tienden a expresar una urgencia y miedo poco común en comunicaciones oficiales.

• Vishing. El vhising es, básicamente, un caso de phishing realizado por voz, es decir, por teléfono. Frecuentemente, las llamadas avisan al receptor de una cancelación en el servicio contratado o de un problema con el pago más reciente. De esta forma, tratan de incitarte a facilitarles tus datos para comprobar las condiciones de tu contrato con dicha empresa y así poder ver qué error ha podido darse, o para tratar de realizar el último pago “fallido”.

• Smishing. De nuevo, es una variación de las dos anteriores. En este caso, la comunicación se realiza a través de un SMS y suelen hacerse pasar por empresas de transporte que requieren de un pago previo a la entrega, o por empresas de transporte o telefonía informándote de que has ganado el premio de un sorteo en el que no has participado.

• Spoofing. Básicamente, este término se refiere a la suplantación de identidad, ya sea suplantando la IP de otro dispositivo, una web, un email, un perfil en redes sociales o cualquier otro método identificativo (ARP, DNS…). Es una estafa muy peligrosa, pues puede colapsar servidores, asociar la cuenta de una persona o entidad públicamente confiable con actividades maliciosas, o robar datos a través de phishing tras crear y dirigir a las víctimas a una web que imita a otro site oficial.

• Ransomware/malware. Aunque estos software suelen acogerse bajo el término “virus”, lo cierto es que hay ciertas diferencias entre estos conceptos. Un malware puede infectar un dispositivo y dejarlo inservible, siendo capaz de realizar acciones no deseadas como la destrucción o el robo de información y ficheros de tu dispositivo. De este software malicioso encontramos diferentes tipos, como los troyanos, spywares, bots o gusanos.

Por otro lado, el ransomware busca secuestrar información o archivos de un dispositivo o incluso de un sistema. Es decir, encripta información para pedir una cifra de dinero, generalmente en bitcoins u otras criptomonedas, a la víctima, a cambio de descifrarla y devolverla. Finalmente, un virus es cualquier tipo de malware con la capacidad de reproducirse e infectar otros dispositivos o usuarios por sí mismo. 

• Baiting. El baiting o estafa gancho consiste en dejar un dispositivo de almacenamiento (es decir, desde un USB hasta un móvil) en un lugar muy transitado, para que sea encontrado y, una vez conectado a un dispositivo propio, infectarlo con el malware que el atacante desee. Puede usarse tanto para extraer información personal como para atacar a redes o corporaciones mayores, pues tiene la capacidad de controlar el equipo infectado y propagarse a otros.

• Estafas a través del QR. Las estafas relacionadas con los códigos QR se dan a través de todas las aplicaciones capaces de leer este tipo de códigos pues, una vez escaneados, las víctimas puedes sufrir tres situaciones: acceder e introducir datos en una web falsa (qrishing o phishing por QR); que el dispositivo descargue automáticamente un archivo infectado con malware; o que secuestren su inicio de sesión en servicios que, como WhatsApp Web, pueden iniciarse a través de QR (qrljacking).

• Typosquatting. Este tipo de ataques se dan cuando el usuario comete un error tipográfico al buscar determinada web por su URL (por ejemplo, escribir “YuTube” en lugar de “YouTube”). Si este dominio ha sido previamente registrado y ocupado por atacantes, el usuario acceder a una página muy estéticamente muy similar a la que se estaba buscando, infectando el equipo del usuario, robándole datos personales, secuestrando información o dirigiéndolo a una web llena de publicidad fraudulenta.

• Scam CEO. En este caso, esta estafa consiste en la suplantación de una persona con poder sobre el dinero de una empresa con poder económico para acceder a las cuentas bancarias de la compañía. En este caso, los ataques suelen llevarse a cabo a través de phishing, infectando con un spyware o malware espía a dicha persona. Tras esto, los atacantes estudian la forma en que trabaja la empresa, su relación con clientes y proveedores, cómo manejan el dinero…

Esta es, por tanto, una de las estafas que, aunque no afectan en primera persona a tantos individuos, generan grandes pérdidas a nivel económico, llevando a ciertas empresas a la ruina (a nivel económico o de opinión pública), por lo que su repercusión y riesgo es desmesurada.

Como podemos ver, no todos los tipos de estafas pueden ser evitados a través de software de protección. Aunque estos sí que eliminan parte del peligro, siempre queda una ventana abierta al error o actuación humana. Por este motivo, es fundamental contar también con una formación básica, siendo este un método de protección que Bexiqo considera fundamental, ofreciendo este servicio de forma primordial.