Psicohacking
Se habla mucho del hackeo de dispositivos, pero… ¿y cuando lo que se hackea eres tú?
Ya hemos hablado previamente del phishing, que consiste en el envío de emails, correos o comunicaciones similares fingiendo ser una empresa o entidad conocida que requiere de alguna acción para su correcto funcionamiento. Para ello, debes facilitar una serie de datos… los cuales se usarán con fines ilícitos o, sin quererlo, implantarás un malware en tu dispositivo, a través del cual obtendrán dichos datos.
Pero, ¿qué pasa cuando los hackers, además de expertos en tecnología, son unos grandes manipuladores de la mente humana? Es en este momento cuando hablamos del psicohacking, la estrategia tras la cual se agrupan muchas de las estafas más populares y que no busca hackear el software, sino al usuario tras el dispositivo.
Dicho esto, la manera de evitar estos ataques parece simple… ¿o no? La respuesta es que todos somos altamente vulnerables a ellas pues, en muchas ocasiones, las propias imágenes compartidas en las populares cadenas de email, actualmente más propias de WhatsApp, pueden contener un malware que infectará a todos los usuarios que la reciban y descarguen. En esta situación, tu seguridad depende no solo de ti, sino del nivel de confianza y de las intenciones de tus contactos.
Volviendo unos años atrás, cuando las cadenas cómicas o aquellas de “si no reenvías esto a 10 contactos tendrás muchos años de mala suerte” eran muy populares; estas permitían al emisor original obtener numerosas direcciones de correo a las que llenar posteriormente de spam o de las que obtener información.
Ante esto, podemos decir que el psicohacking juega con la confianza del entorno del usuario, de la presión de grupo y del afán individual de sentirse parte de un conjunto: “este mensaje me lo ha enviado mi primo, así que debe ser seguro y, como me ha hecho gracia, se lo reenviaré a mis amigos”.
Analizando el psicohacking a través del phishing, el cual consideramos que es una de las amenazas más reconocibles, podemos encontrar mensajes como los ejemplos siguientes:
“Somos una empresa muy conocida y necesitamos ciertos datos para proporcionarte el servicio que deseas.” Aunque este caso concreto no da el nombre de ninguna empresa real, con sus colores y su nombre busca dar la sensación de que se trata de Correos, y de que están reteniendo un paquete para ti. En caso de clicar en el link que facilitan, probablemente accederías a una web fraudulenta en la que te pedirían ciertos datos personales, o bien, descargarías en tu dispositivo algún tipo de documento o archivo infectado.
“¡Ehnorabuena! Has ganado un maravilloso premio.” Incluso sin haber participado en concurso o sorteo alguno, es una gran tentación, por lo que podemos despistarnos y facilitar cierta información para poder recibirlo. También es común que ofrezcan grandes premios que el usuario puede conseguir con tan solo rellenar una inofensiva encuesta, solo que, quizá, las preguntas no son tan bienintencionadas como parece.
“Ha habido un movimiento sospechoso en tu cuenta y necesitamos que la compruebes”. Similar al primer ejemplo, son numerosas las ocasiones en las que los ciberatacantes tratan de hacernos creer que nuestra cuenta bancaria está en peligro y que, para evitarlo, debemos acceder inmediatamente al link que nos proporcionan.
El objetivo de estos mensajes no consiste únicamente en atacar a usuarios individuales, sino que también busca hacerse con el control o con información privilegiada y confidencial de empresas o instituciones.
¿Qué tienen en común estos mensajes?
En primer lugar, que con todos ellos se busca que el receptor proporcione voluntariamente sus credenciales a un tercero, siempre a través de engaños. Ante esto, la víctima, en lugar de sentirse atacado, suele estar agradecido y pensar que ha evitado una amenaza, aunque nada más lejos de la realidad.
En todos ellos se presenta una situación que requiere de una actuación extremadamente urgente y que, para ser solucionada, se debe iniciar sesión en la plataforma correspondiente pero siempre a través del link facilitado.
Además, evitan usar apelativos directos; es decir, en un comunicado real de un banco suele dirigirse a su usuario a través de su nombre, mientras que, como vemos en estos ejemplos, los mensajes fraudulentos lo evitan, llegando, incluso, a contener elementos extraños como es el caso de la primera imagen: “{fname}”. También son destacables las faltas de ortografía, el uso de símbolos extraños y la discordancia entre el asunto y el cuerpo del mensaje.
Para evitar caer en este tipo de estafas, te recomendamos que, ante la duda, contactes directamente con la entidad bancaria o con la empresa correspondiente, es decir, la supuesta responsable de esta comunicación sospechosa, para comprobar su veracidad. Eso sí, debes hacerlo a través de números de teléfono o direcciones de email que no estén facilitadas en la propia comunicación sospechosa. Lo más recomendable es que busques esta información en la red, preferiblemente en su página web oficial, de comunicaciones reales previas o a través de los contratos o documentos de compra o de suscripción que poseas con dichas compañías.
Sí, a pesar de todo, crees que has sido víctima de un ataque de este estilo, te animamos a contactar lo antes posible con la empresa real en cuyo nombre te han estafado para intentar solucionar los posibles inconvenientes, contactar con la policía en caso de ser necesario y, si la empresa para la que trabajas puede verse afectada, avisar rápidamente al personal encargado de sus tecnologías. Ante estas situaciones, es especialmente recomendable contar con un seguro de ciberseguridad que te proteja económicamente ante las posibles consecuencias del ciberataque.