Estar conectado a internet ofrece numerosas ventajas, pero también expone a los usuarios a diversos riesgos. Para los juristas, profesionales que manejan información altamente sensible, la seguridad es un aspecto crucial que no debe descuidarse.
Renunciar a internet no es una opción viable. Gracias a la conexión a la red, los juristas pueden ofrecer un servicio más eficiente a sus clientes, acceder a diversas fuentes jurídicas en línea y realizar trámites administrativos que agilizan su trabajo. Por esta razón, es común ver que existen numerosas formas de protegerse.
Desde optar por servicios en la nube hasta utilizar potentes firewalls, hay una variedad de medidas de protección disponibles para evitar los ataques de los piratas informáticos. Sin embargo, existe un problema al que no podemos defendernos adecuadamente y para el cual ningún antivirus es suficiente: nosotros mismos. Aquí es donde entra en juego la problemática de la ingeniería social y cómo puede afectar nuestro trabajo.
¿Pero qué es exactamente la ingeniería social?
La ingeniería social es una práctica que utiliza técnicas psicológicas para manipular el comportamiento de las personas. Se basa en el error humano, llevando a sus víctimas a actuar en contra de sus propios intereses. En el ámbito de la ciberseguridad, la ingeniería social implica que los propios usuarios revelen sus datos privados en internet, como contraseñas, de manera involuntaria debido a la manipulación y el engaño.
La única protección realmente efectiva contra la ingeniería social es la capacitación del usuario. Podemos comparar la ingeniería social con una forma moderna de estafa. A diferencia de un robo, en una estafa es la propia persona quien entrega voluntariamente sus pertenencias. Al tener conocimiento de la estafa, podemos evitar convertirnos en víctimas de ella.
Conozcamos algunos de los tipos de estafas más comunes para comprender cómo la ingeniería social puede poner en riesgo la ciberseguridad de cualquier abogado.
Diferentes tipos de ataques de ingeniería social:
Conocer estos ataques te permitirá ser más precavido al utilizar internet en tu vida diaria. Si deseas navegar por la red de manera segura, es importante que estés familiarizado con cada uno de estos ataques.
Phishing:
El phishing es el principal tipo de ataque de ingeniería social y existen numerosas variantes de este. Básicamente, estos ataques se basan en suplantar la identidad de una fuente confiable. Para comprender mejor este tipo de ataque, consideremos un ejemplo:
Imagina que recibes un correo electrónico de tu banco informándote que se han retirado 1.000€ de tu cuenta bancaria. El correo parece auténtico, con el logotipo de tu banco y te sugiere que podría ser un error, instándote a ingresar a tu cuenta bancaria para verificarlo. Incluso te proporciona un enlace en el propio correo, pero este enlace es completamente falso.
Preocupado por tu dinero y confiando en que el correo proviene de tu banco (incluso la dirección es similar), haces clic en el enlace. Una vez dentro, te encuentras con una página idéntica a la del sitio web de tu banco, con las mismas imágenes, secciones y videos. Es una réplica perfecta diseñada para mantener tu confianza.
Al ingresar tus credenciales en esta página, llegas a la pantalla de inicio de sesión, donde proporcionas tu DNI y tu contraseña. Sin embargo, la página no se carga. Resulta que esta no era la página real de tu banco, y los datos que ingresaste han sido enviados automáticamente al hacker informático. Con tu información personal en su poder, el hacker accederá a tu cuenta original del banco y podrá extraer dinero, cambiar tu contraseña o realizar cualquier acción perjudicial.
Como has podido ver, no se necesitó un ataque directo ni la presencia de virus. En cambio, entregaste voluntariamente la información al delincuente a través de una estafa. Para evitar caer en este tipo de engaños, nunca debes ingresar a sitios web que manejan información sensible a través de un enlace. Además, verifica cuidadosamente la dirección de correo electrónico desde la cual te han enviado el mensaje.
Vishing:
El vishing, también conocido como phishing por voz, implica la falsificación de un número telefónico para que el atacante se haga pasar por alguien más. En este tipo de ataque, el atacante puede llamarte haciéndose pasar por personal de tu banco y solicitando datos personales.
Es importante tener claro que ninguna empresa legítima te pedirá tus datos personales, ya sea por internet o por teléfono. Tu banco nunca te llamará para pedirte tu contraseña y la compañía de servicios públicos tampoco te llamará para solicitar información similar. Para evitar este tipo de engaños, nunca proporciones datos personales sensibles ni por teléfono ni por correo electrónico.
Smishing:
El smishing es una variante del ataque de phishing que se realiza a través de mensajes de texto (SMS). Si alguna vez recibes un mensaje extraño en tu teléfono que te informa que has ganado un teléfono móvil de alta gama, un automóvil o un crédito, lo más probable es que estés frente a este tipo de ataque.
Estos mensajes suelen venir acompañados de un enlace malicioso que, obviamente, debes evitar abrir para reclamar tu supuesto premio. El engaño en estos casos puede adoptar diferentes formas, desde pedirte que llames a un número telefónico para cobrar tu premio hasta solicitar que ingreses los datos de tu cuenta para verificar tu identidad. No te dejes llevar por la emoción de haber ganado un premio en un concurso en el que ni siquiera participaste, ya que se trata de un engaño.
Honey trap:
El honey trap es un ataque de ingeniería social que busca a víctimas en situaciones sexuales comprometedoras. En este tipo de ataque, se envía a la víctima un mensaje que afirma tener material comprometedor captado a través de su cámara web.
El atacante suele solicitar un rescate para evitar la divulgación de dicho material. Estos mensajes son falsos, pero el hecho de que muchas personas tengan cámaras web en sus computadoras portátiles puede generar temor de ser grabados. Además de ignorar el mensaje, lo mejor en estos casos es cubrir físicamente la cámara web de tu portátil para evitar problemas.
Scareware:
Este tipo de ingeniería social busca asustar a las personas haciendo creer que su computadora está infectada. Es posible que hayas encontrado publicidad en internet que te dice que tu ordenador está infectado, especialmente si no tienes un bloqueador de anuncios.
Afortunadamente, ellos tienen la solución perfecta para dejar tu ordenador como nuevo. Te ofrecen descargar su programa antivirus para desinfectarlo y así ahorrarte los 100€ que te costaría llevarlo a una tienda de informática. Una vez más, accedes al enlace en busca de ese programa antivirus, pero en lugar de eso, te encuentras con un software malicioso que roba tus datos.
¿Cómo protegerse de la ingeniería social?
Protegerse de la ingeniería social es tan sencillo como no creer todo lo que encuentras en internet. Como mencionamos anteriormente, tu banco nunca te llamará para pedirte tu número de cuenta o contraseña, ni te solicitará esa información por correo electrónico o mensajes de texto. Por lo tanto, siempre debes desconfiar cuando recibas mensajes de ese tipo.
Refuerza los filtros de spam en tu correo electrónico. Los correos que provienen de ataques de ingeniería social son falsos e intentan imitar a los correos oficiales. Sin embargo, si prestas atención, notarás que tienen dominios o extensiones diferentes. Configura tu cuenta de correo electrónico para que sea más restrictiva con los correos no deseados y así reducirás la cantidad de correos de este tipo en tu bandeja de entrada.
Finalmente, contar con software de seguridad también ayuda. Aunque los ataques de ingeniería social se aprovechan del error humano, contar con las herramientas adecuadas te brinda una mayor protección, especialmente si accedes a enlaces sospechosos.
Recuerda que en internet no existen ofertas milagrosas ni nadie te dará algo a cambio de nada. Sé precavido ante cualquier propuesta sospechosa y, pase lo que pase, nunca reveles tus datos personales ni contraseñas a nadie.
Comments