¿Has escuchado hablar sobre el phishing? ¿sobre la ingeniería social? En este artículo te platicaremos sobre un tipo de robo de identidad bastante común donde más que hackear un servidor, se trata de hackear nuestra reacción.

Brechas de seguridad

¿Alguna vez te ha llegado un correo diciendo que alguien hizo una compra no reconocida en tu cuenta de Apple? ¿O recibiste una llamada sospechosa del ejecutivo de un banco? Pues, no te alarmes, pero puede que hayas sufrido un intento de robo de identidad basado en la ingeniería social. 

Y ¿qué es eso de la ingeniería social? Se trata de el conjunto de técnicas de persuasión con las que se convence a las personas de hacer algo como compartir información confidencial. 

Con toda la información disponible hoy en día y las prácticas de seguridad que pudiéramos aplicar, puede que se nos haga fácil pensar que, ante una situación sospechosa, estamos preparados para actuar con lógica. Pero estas técnicas en realidad se enfocan en manipular un sistema mucho más vulnerable: nuestras emociones. 

Phishing, Vishing, SMishing y Suplantación

Tal vez estés pensando “Eso ni parece inglés”, y es que estas palabras precisamente fueron inventadas en años recientes para identificar las distintas formas en las que se puede cometer fraude o robo de identidad.

  • Phishing. Se refiere a cuando se busca obtener información de una persona o infiltrar un virus a través de un correo.
  • Vishing. Es cuando se intenta extraer información personal a través de una llamada ya sea haciéndose pasar por un conocido o un servicio.
  • SMishing. Similar a los casos anteriores, sólo que a través de mensajes SMS.
  • Suplantación. Esto ocurre cuando alguien más se hace pasar por nosotros con algún servicio para sacar información.

¿Quiere decir que éstos son los únicos medios por los que se puede lograr el robo de identidad? No, hoy en día con la prioridad que le damos a las redes sociales y otras plataformas por las cuales interactuamos, hay muchos canales por los que podríamos estar compartiendo información con la persona equivocada.

Lección #1: No entres en pánico

Empecemos a aterrizar la información retomando el caso de phishing que mencionamos al inicio. Supongamos que un día mientras trabajabas en un proyecto recibiste un correo de “Apple ID” que decía “ALERTA inicio se seguridad no autorisado”.

Entre las prisas por terminar tu proyecto, la confianza que tienes en Apple y sobre todo con el pánico ocasionado por leer un mensaje que inicia con “ALERTA”, puede que te hayas metido de inmediato a ver el correo y dado click en el link de  “recuperación” sin haberte detenido a observar las señales.

Por ejemplo, las faltas de ortografía, como autorizado con “s”, la falta de logo o un logo de mala calidad, que el enlace no correspondía con la dirección web de Apple, o que la dirección de correo tampoco se veía legítima.

En algunos casos, basta con incentivar pánico pero también hay hackers que le meten mucho esfuerzo en que el correo se vea lo más real posible. Así que puedes hacer lo siguiente:

Para prevenir un robo de identidad por phishing, puedes hacer lo siguiente:

  • Haz una pausa y recupera el equilibrio antes de cualquier decisión.

  • Revisa si la dirección de correo es similar a otras que hayas recibido previamente, sabiendo que sí se trata de la compañía (eso lo puedes hacer dando click en  “Ver detalle” junto al nombre de quien lo envió).

  • Escribe directamente el enlace en una página nueva o ve directamente a la página oficial de la empresa o institución.

  • Si aún así te da desconfianza puedes contactarlos directamente por teléfono o algún otro medio oficial para confirmar que se trate de ellos.

Lección #2: Que la alegría no te gane

La ingeniería social no sólo se basa en los sustos, también sabe cómo manipular nuestra oxitocina, mejor conocida como la hormona de la felicidad, para que regalemos nuestra información.

Imagínate que un día te llega un mensaje directo en Instagram diciendo que fuiste seleccionado entre los seguidores de una página de decoración a la que sigues y te ganaste que remodelen tu cuarto. Tienes sólo 24 horas para confirmar o pasarán al siguiente seleccionado, te piden que ingreses a la liga para crear una cuenta o que compartas tu información de contacto. 

Por el amor que le tienes a la cuenta que mencionaron, por la forma tan bonita en la que te hablaron y como hace poco participaste en un Giveaway, se te escapó revisar el nombre y contenido de la cuenta y resulta que se trató de otro intento de robo de identidad.

Ahora, si crees que no caerías tan fácil por una remodelación, piensa que el premio o motivación puede ser lo que sea. Cualquier cosa que te haga sentir especial. Y a veces no es como que los hackers tengan que saber todo de ti, basta con seguir ciertas cuentas o etiquetar lugares de interés, para que sepan por dónde llegarle a tus emociones. 

¿Dónde está el problema?

Podríamos pensar que, en ambos casos, la información que pudiste haber dado fue mínima, pero incluso el confirmar tu identidad o usar una contraseña que normalmente usas, es suficiente para que sigan sacando información de ti, ya sea haciéndose pasar por ti con otra compañía para obtener otros datos o creando cuentas a tu nombre.

Tan solo en el caso de Apple, donde a lo mejor tienes dada de alta tu tarjeta, estas personas ya cuentan con más información financiera sobre ti. Aún si no pueden usar la tarjeta, saben en qué banco tienes cuenta de débito o crédito.

No todo está perdido

Recuerda que la intención de este artículo no es que entres en pánico (vuelve a la lección #1) sino que seas más cuidadoso con este tipo de ataques. Por lo general, te invitamos a no tomar ninguna decisión, financiera o de seguridad,  cuando tus emociones están por todas partes. Toma siempre un respiro y procura analizar la situación con tranquilidad.