Tailgating

El tailgating, en el contexto de la ingeniería social y la seguridad, se refiere a una táctica en la que una persona intenta acceder a un área restringida o segura siguiendo de cerca a alguien que tiene autorización para entrar. Esta técnica se basa en la confianza y en la cortesía social, ya que muchas personas tienden a permitir el acceso a otras sin cuestionar su presencia o razón para estar allí.

Ejemplos de tailgating:

1. Entrar a un edificio de oficinas: Un atacante puede ver a un empleado con una tarjeta de acceso entrar a un edificio. Luego, se acerca y entra justo detrás de la persona, aprovechando la confianza de esta para eludir los controles de seguridad.

2. Instalaciones restringidas: En entornos más críticos, como instalaciones militares o laboratorios de investigación, un atacante puede seguir a alguien que tiene acceso a información o materiales sensibles para infiltrarse sin autorización.

3. Eventos públicos: En conciertos o eventos deportivos, alguien puede seguir a un grupo que tiene acceso a áreas VIP o zonas restringidas, aprovechando la multitud para eludir la seguridad.

Estafas por redes

 Las estafas por redes son fraudes que se realizan a través de plataformas en línea, como redes sociales, correos electrónicos, aplicaciones de mensajería y sitios web. Estas estafas pueden adoptar muchas formas y suelen dirigirse a individuos o grupos en busca de información personal, financiera o bienes, aprovechando la confianza que las personas depositan en el entorno digital.

Cómo protegerse de las estafas por redes:

1. Desconfía de ofertas demasiado buenas para ser verdad: Si algo parece demasiado atractivo, como grandes descuentos o premios inesperados, es probable que sea un fraude.

2. Verifica la fuente: Siempre investiga y verifica la autenticidad de correos electrónicos, mensajes o perfiles en redes sociales antes de proporcionar información personal o hacer clic en enlaces.

3. No compartas información personal: Nunca reveles datos sensibles como contraseñas, números de tarjetas de crédito o información personal a través de correos electrónicos o mensajes de desconocidos.

Honey Trap

Es una táctica de ingeniería social o espionaje en la que una persona es atraída emocional o sexualmente por un agente o estafador con el objetivo de manipularla y obtener información, influencia o algún tipo de ventaja sobre ella. Esta técnica suele implicar una relación romántica o sexual, real o simulada, en la que la víctima, cegada por sus emociones, baja la guardia y revela información confidencial o realiza acciones comprometedoras.

Ejemplos de honey trap:

1. Espionaje gubernamental: Un agente secreto de un país puede utilizar a un "honey trap" para atraer a un empleado del gobierno de otro país con acceso a secretos militares o políticos. Una vez que el empleado está emocionalmente comprometido, es más probable que revele información secreta.

2. Estafas de redes sociales: Los estafadores crean perfiles falsos atractivos en redes sociales o aplicaciones de citas. A través de mensajes seductores, logran que la víctima se encariñe y luego la manipulan para que envíe dinero o revele datos sensibles, como contraseñas o información financiera.

3. Compromiso en empresas: Un competidor puede enviar a una persona para seducir a un empleado clave de otra empresa. Después de entablar una relación, el atacante intenta extraer secretos comerciales o información valiosa para ganar ventaja competitiva.

4. Amenaza de exposición pública: En algunos casos, el estafador graba a la víctima en una situación comprometedora (ya sea mediante conversaciones o interacciones íntimas) y luego utiliza ese material para chantajearla y forzarla a cumplir con las demandas del atacante, como acceder a sistemas de la empresa o transferir dinero.

Scam

 

El scam es un tipo de estafa en la que una persona o grupo intenta engañar a otra para obtener dinero, información personal o bienes mediante engaños o promesas falsas. Las estafas pueden presentarse de muchas formas, pero el objetivo principal es siempre explotar la confianza o la falta de conocimiento de la víctima para beneficio propio.

Cómo protegerte de los scams:

1. Verifica la fuente: Siempre investiga la legitimidad de las ofertas, empresas o personas antes de proporcionar información o dinero.

2. No compartas información personal: Nunca des información sensible como contraseñas, números de seguridad social o información financiera por teléfono o en línea, a menos que estés absolutamente seguro de la legitimidad de la solicitud.

3. Desconfía de ofertas no solicitadas: Si te contactan para ofrecerte algo que no has solicitado (como premios, oportunidades de inversión, etc.), sé escéptico.

4. Usa herramientas de seguridad: Mantén actualizado tu software antivirus y usa autenticación de dos factores en tus cuentas para reducir el riesgo de acceso no autorizado.

5. No cedas ante la presión: Si alguien te está presionando para que tomes una decisión rápida, tómate tu tiempo para investigar y verificar antes de actuar.

Vishing

 

¿Cómo funciona el vishing?

1. Llamada falsa: El atacante realiza una llamada telefónica, haciéndose pasar por un empleado de una entidad legítima, como un banco, una agencia gubernamental o una empresa de servicios. La llamada puede parecer profesional, y los estafadores suelen usar tácticas de manipulación emocional, como la urgencia o el miedo, para que la víctima coopere rápidamente.

2. Engaño emocional: Los estafadores suelen crear un escenario que genera urgencia o preocupación, por ejemplo:

• Afirmando que ha habido una transacción sospechosa en la cuenta bancaria de la víctima.
• Diciendo que hay un problema urgente con su tarjeta de crédito.
• Amenazando con acciones legales o multas si no se actúa de inmediato.

1. Solicitud de información confidencial: Durante la llamada, el estafador pide a la víctima que proporcione información confidencial, como números de cuenta, contraseñas, números de seguridad social, códigos de verificación, etc. En algunos casos, podrían pedir que realices acciones como transferir dinero o compartir contraseñas.

2. Manipulación de la tecnología: A veces, los atacantes usan tecnología para falsificar el identificador de llamadas (caller ID spoofing), haciendo que el número de teléfono parezca que proviene de una fuente legítima, como tu banco o una institución oficial, para hacer más creíble la llamada.

Dumpster

Es una técnica utilizada por atacantes para obtener información confidencial o sensible que ha sido desechada, aprovechándose de descuidos en la forma en que las personas o empresas eliminan sus datos. Esta práctica consiste en buscar en la basura o desechos para encontrar pistas o fragmentos de información que luego pueden ser utilizados para realizar fraudes, suplantación de identidad o acceder a sistemas más amplios.

Ejemplos prácticos:

1. Acceso a documentos internos: Un atacante encuentra en la basura un manual de la empresa que describe cómo configurar el acceso a ciertos sistemas. Con esta información, el atacante puede diseñar correos electrónicos o llamadas que parezcan auténticas y que manipulen a empleados desprevenidos.

2. Recuperación de facturas o recibos: Al encontrar facturas o recibos de transacciones comerciales, el atacante puede obtener datos financieros de la empresa, lo que podría utilizar para lanzar ataques como suplantación de proveedores o fraude de CEO.

Scareware

El scareware es un tipo de software malicioso diseñado para asustar a los usuarios y engañarlos para que realicen acciones no deseadas, como comprar programas innecesarios o proporcionar información personal. Generalmente, el scareware aparece en forma de falsas alertas de seguridad que simulan ser advertencias legítimas, haciéndole creer al usuario que su dispositivo está infectado con virus o que corre un grave riesgo.

Ejemplos comunes de scareware

• Falsos antivirus: Te hacen creer que tu computadora tiene virus y te instan a comprar o descargar un programa "antivirus" que supuestamente eliminará las amenazas. Estos programas no solo no eliminan virus, sino que a menudo son el propio malware.

• Mensajes emergentes en el navegador: Mientras navegas por la web, podrías ver un mensaje que te dice que tu computadora está infectada o que debes llamar a un número de soporte técnico. Estos números a menudo te conectan con estafadores que intentan venderte servicios innecesarios o robar tu información.

• Alertas de problemas con el sistema: Algunas versiones de scareware intentan convencerte de que hay problemas graves en tu computadora, como discos dañados o fallos de hardware, lo que requiere que compres un software para "repararlo".

Phising

Que es el Phising?

El phishing es una técnica de ciberataque basada en la ingeniería social, que busca engañar a las personas para que revelen información sensible, como contraseñas, números de tarjetas de crédito o datos personales. Los atacantes se hacen pasar por entidades legítimas, como bancos, plataformas de correo electrónico o redes sociales, y envían mensajes fraudulentos por correo electrónico, SMS o redes sociales para lograr que las víctimas caigan en la trampa.

Cómo protegerte del Phishing

1. Desconfía de correos o mensajes no solicitados: Si recibes un correo o mensaje que parece sospechoso, aunque provenga de una fuente confiable, no hagas clic en ningún enlace ni descargues archivos adjuntos.

2. Verifica la dirección del remitente: Revisa que el correo electrónico provenga de un dominio oficial. Las empresas legítimas no usan direcciones de correo genéricas como @gmail.com o @hotmail.com.

3. No ingreses información personal en sitios web no seguros: Asegúrate de que la URL del sitio comienza con "https://" (la "s" indica que el sitio es seguro) y que hay un icono de candado en la barra de direcciones.

4. Utiliza autenticación de dos factores (2FA): Esto añade una capa extra de seguridad, ya que incluso si un atacante obtiene tu contraseña, no podrá acceder a tu cuenta sin el segundo factor de autenticación.

5. Mantén actualizado tu software de seguridad: Los antivirus y herramientas antiphishing pueden ayudarte a detectar correos fraudulentos o bloquear sitios maliciosos.

Baiting

Que es el Baiting?

En el mundo de la ciberseguridad, el baiting es una técnica de ingeniería social donde los atacantes ofrecen algo atractivo (por ejemplo, una descarga gratuita o un dispositivo USB) con el fin de que las víctimas caigan en la trampa y compartan información confidencial o instalen malware.

Es relevante recordar que el baiting se basa en explotar nuestra debilidad por obtener algo, es por eso por lo que lo ideal es no recoger algún medio de almacenamiento que se encuentre en la calle o del que desconozcamos su procedencia e incluso conociéndola hacer analizar el medio para evitar cualquier infección de malware.

A la hora de recibir correos electrónicos con enlaces a otras páginas, es importante ver que el vínculo coincida con el dominio al que nos quiere dirigir el enlace y no solo eso, también corroborar que el dominio este escrito de forma correcta, pues por la ausencia de una letra o que haya sido puesta en orden diferente, la liga nos dirigirá a otro sitio controlado por el ciberdelincuente.

Introducción a la Ingeniería Social

 Introducción a la Ingeniería Social 

La ingeniería social es una técnica de manipulación que aprovecha el error humano para obtener información privada, acceso a sistemas u objetos de valor. En el caso del delito cibernético, estas estafas de "hackeo de humanos" tienden a hacer que los usuarios desprevenidos expongan datos, propaguen infecciones de malware o den acceso a sistemas restringidos. Los ataques pueden ocurrir en línea, en persona y a través de otras interacciones.