Los ataques de ingeniería social tienen el objetivo de explotar rasgos humanos, como la curiosidad o la confianza. A través de diversos métodos, los ciberdelincuentes buscan manipular a las personas para que sean víctimas de estafas o ataques sofisticados y bien aceitados sin que se den cuenta de que fueron engañados.
Dentro de este tipo de amenaza, se destaca la táctica conocida como baiting (del inglés bait, carnada). Identificado por primera vez en la década del 90 a través de la utilización de CD con programas maliciosos, fue evolucionando hasta hoy, pero nunca cambió su esencia.
Leé también: Las 3 prácticas de ciberseguridad indispensables para operar con tu banco desde homebanking y redes sociales
El baiting consiste en de dejar al alcance de la víctima, aleatoria o no, un medio o dispositivo de almacenamiento, en apariencia inofensivo, que contiene un virus informático. Cuando la víctima lo inserta en su computadora, se infecta.
A finales de la década del 90 se hizo popular el virus Melissa, que se esparció a miles de computadoras por email. Fue uno de los primeros casos de phishing que se expandió de manera global. Años más tarde, bajo la misma técnica, aparecería el gusano más famoso de la historia: el I love you con una afectación aproximada de 50 millones de equipos y pérdidas económicas superiores a 10 millones de dólares.
Al comenzar los años 2000, los CD Rom que empezaron a “extinguir” para dar paso a las unidades extraíbles USB o pendrives. Los ciberdelincuentes se adaptaron a este avance tecnológico y comenzó a ponerse de moda el USB Baiting. El método para infectar computadoras era el mismo que con discos compactos: virus que vienen ocultos en el dispositivo y se activan al conectarlos a un equipo.
Con los años, las técnicas de phishing adoptaron nuevas formas, como la incorporación de enlaces de redirección, archivos maliciosos, DVD, QR, etc. Y si bien el correo electrónico sigue siendo el medio más utilizado para tratar de engañar a personas, las redes sociales y las plataformas de mensajería instantánea se convirtieron en un nicho que no para de crecer.
Leé también: Este es el principal error del que se aprovechan los ciberdelincuentes para robar tus claves y ahorros
Así, los ciberdelincuentes apuntan a usuarios comunes con el objetivo de robarles no solo la identidad en Instagram, Facebook, WhatsApp, para hacerse pasar por el dueño de la cuenta y pedir dinero a sus familiares y amigos a su nombre, sino para ingresar a sus homebanking y/o billeteras virtuales para vaciarlas.
Una nueva amenaza
Según explicaron los especialistas de BTR Consulting, una de las amenazas actuales consiste en una actualización del conocido baiting: se trata de dejar en la calle llaves con un llavero que contienen un número para llamar en caso de pérdida.
La persona que encuentra las llaves, en su buena fe de devolverlas a su dueño, se contacta a ese número que figura en el llavero. Del otro lado, mediante esquemas de ingeniería social, los ciberdelincuentes tienen diferentes maneras de hacer caer a las víctimas.
Una de las más conocidas consiste en convencer a la otra persona a iniciar una llamada por video mediante Whatsapp. Una vez allí, guían a la víctima para que seleccione un botón de compartir la pantalla de su celular.
Leé también: Las 6 estafas más peligrosas de Internet: cómo detectarlas y evitarlas
Al hacerlo, ya todo estará perdido y el delincuente podrá acceder a todo lo que haya en el dispositivo, como sus fotos, conversaciones, e información bancaria, como contraseñas y datos de cuentas de homebanking o billeteras virtuales.
Con esta información en su poder, el ciberdelincuente podría vaciar los ahorros de las personas con transferencias e incluso solicitar préstamos a tu nombre, con todos los perjuicios financieros y emocionales que acarrea.
Otra táctica es mantener a la víctima en línea, conectada a WhatsApp. Así, inician en otro dispositivo móvil una cuenta de la app de mensajería con el mismo número. La plataforma, por seguridad, enviará un mensaje con un código PIN que únicamente llega al dueño de la línea, pero como los atacantes ven todos los mensajes que aparecen en la pantalla del dispositivo de la víctima, obtienen ese PIN, incluso el código del multi factor si está asociado al mismo equipo (sea SMS, token, o mail) lo que hace que logren el robo de la cuenta en la aplicación.
Si bien hay múltiples soluciones para mitigar estos riesgos, como herramientas antimalware, antiphishing, configuraciones en puertos USB o lectoras (ya casi en desuso), implementación de multi factores de autenticación, contraseñas robustas y rotativas periódicamente, firewalls y otras cuantas, siempre el factor humano fue, es y será el objetivo principal para los atacantes.
Leé también: Con un click y sin que te des cuenta, así te roban por WhatsApp tu contraseña del homebanking: cómo evitarlo
Es fundamental que todos nosotros tengamos conocimiento de estas situaciones y entendamos que cualquiera puede ser víctima de un intento de estafa. Desde BTR Consulting recomendaron:
Cómo detectar y combatir el baiting
- desestimar emails no solicitados que soliciten datos personales, o contraseñas, o inciten a descargar archivos desconocidos, e incluyan enlaces a sitios no oficiales.
- no conectar en tu computadora dispositivos extraíbles (pendrives) de orígenes desconocidos.
- no usar aplicaciones no oficiales de plataformas, por ejemplo WhatsApp plus.
- no contestar llamadas o mensajes sospechosos no solicitados.
- cortar las llamadas de personas desconocidas que solicitan tomar acciones en tu dispositivo, como activar funciones o descargar archivos, o que pidan contraseñas o datos privados.
Por último, ante una situación sospechosa, es importante detenerse un momento para analizarla. Los ciberdelincuentes se aprovechan de la urgencia o desesperación de las víctimas. Lo ideal es no perder el control de las llamadas y actuar con el propio tiempo. Tener paciencia y pensar antes de actuar.
