loader
talkie

La ingeniería social es un conjunto de técnicas que usan los cibercriminales para engañar a los usuarios incautos para que les envíen datos confidenciales, infecten sus computadoras con malware o abran enlaces a sitios infectados. Además, los ciberdelincuentes pueden tratar de aprovecharse de la falta de conocimiento de un usuario; debido a la velocidad a la que avanza la tecnología, numerosos consumidores y trabajadores no son conscientes del valor real de los datos personales y no saben con certeza cuál es la mejor manera de proteger esta información. | Esta definición fue tomada de:

// https://latam.kaspersky.com/resource-center/definitions/what-is-social-engineering

 

Ahora bien, con respecto a las modalidades de ataque de Ingeniería social se tiene:

  1. Sitio Web Falso (phishing).
  2. Correos electrónicos externos con archivos adjuntos o solicitando datos personales.
  3. Mensajes de Chat con Enlaces a páginas Web.
  4. Llamadas telefónicas (vishing).
  5. Mensajes de texto.
  6. Dispositivos USB o CDs (Ejemplo: algunos dispositivos regalados por extraños).
  7. Toman información de equipos no desechados adecuadamente.
  8. Redes sociales.

A continuación, se comparte una infografía sobre la manera de operar de la Ingeniería Social, como parte de  una propuesta educativa – del Gobierno de España, Vicepresidencia Primera del Gobierno, Ministerio de Asuntos Económicos y Transformación Digital, Secretaría de Estado de Digitalización e Inteligencia Artificial– llamada “La Oficina de Seguridad del Internauta (OSI)”

Debido a lo anterior es que de manera recurrente las instituciones del conglomerado bancario en Costa Rica generan recomendaciones como las siguientes:

  1. No abra archivos o documentos de dudosa procedencia que lleguen por medio de correo electrónico.
  2. No instale ningún programa que le soliciten por teléfono o correo electrónico.
  3. No realice descargas en sitios web que le soliciten por teléfono o correo electrónico.
  4. Evite ingresar a sitios web desconocidos o inseguros.
  5. No facilitar datos personales o confidenciales, tales como contraseñas, usuarios, pin de tarjetas, números de tarjetas, nombres completos, números de cédula, otros.
  6. Evite exponerse en internet y en redes sociales publicando información personal (número de teléfono, dirección, hábitos, etc.).
  7. No utilice medios de almacenamiento como USB o CDs sin antes revisarlos con el antivirus.
  8. Verifique que los equipos tengan instalado y actualizado un buen antivirus.

También se apela al sentido común y la precaución como los mejores aliados en la defensa contra la ingeniería social.  No obstante, son ya numerosos los costarricenses que están siendo engañados por la combinación de Llamadas telefónicas (vishing) con Sitio Web Falso  (phishing); tal como se muestra en el siguiente ejemplo.

Imagen: Narración de hechos en donde se observa el uso de ingeniería social.

Llamadas telefónicas (vishing)

 

Las aplicaciones para suplantación de la identidad (término derivado del inglés “caller ID spoofing”) se presentan cuando una persona realiza una llamada y, de manera deliberada, modifica la información mostrada a quien recibe la llamada, ocultando de este modo su identidad. La persona interesada en ocultar su información puede elegir un número telefónico cualquiera y este le será mostrado a quien recibe la llamada.

Como muchas tecnologías y su utilización, la práctica del spoofing tiene diferentes motivos en donde es difusa la línea entre lo legal y lo que no lo es -para los tecnólogos-, este aspecto depende más del uso que le dan los usuarios, que de la tecnología en sí misma. De hecho, algunos profesionales requieren resguardar su información y la de sus clientes -por ejemplo en un contexto médico-, detectives – sean privados o del  gobierno-, también profesionales que son contratados para realizar llamadas con fines de control de calidad y necesitan mantener privacidad y anonimato para conseguir sus objetivos de manera eficiente, ya que el receptor de la llamada, si conociera quién le está llamando, de inmediato tendría un sesgo en la manera de tratar al “cliente” y de brindar el servicio, es decir,  el objetivo de control de calidad se perdería.

Las características de este tipo de aplicaciones  permiten cambiar el tono de voz, incluso el género, se puede utilizar voz de mujer o de hombre, ambientar  la llamada, de manera que parezca que le están llamando desde una oficina donde hay algún ruido de fondo con música  o estribillos que son “característicos” de la institución que quieren simular, se pueden grabar las conversaciones, esto significa que muchos detalles suministrados por las personas que son llamadas, luego se pueden repasar o anotar y ser usados para beneficio del que llama, sean estos usos “legales o ilegales”.

Existen muchas aplicaciones de esta naturaleza y disponibles -algunas de pago y otras gratis- para los distintos sistemas operativos móviles (iOS, Android, son un par de ejemplos de éstos sistemas operativos más ampliamente utilizados en celulares).  A continuación, se citan algunos ejemplos de este tipo de aplicaciones.

Imagen: SpoofCard.

SpoofCard: Esta aplicación ayuda a cambiar el ID de la llamada, grabarla, saltar el tono para ir directamente al buzón, en caso de que sea urgente dejar un mensaje a un número específico.  Esta aplicación no se llama igual para iOS que para Android (para este sistema se llama “Incognito Caller ID”).

Imagen: SpoofTel.

SpoofTel: Cuenta igualmente con servicios adicionales al de spoofing, como sonido ambiente, grabación, y cambiador de voz. Esta aplicación opera en equipos de escritorio y móviles con iOS.

Imagen: Covert Calling.

Covert Calling: incluye de igual forma funciones de grabación de llamadas, sonido ambiente y cambio de voz.

Imagen: Spoof My Phone.

Spoof My Phone: Es una de las aplicaciones más avanzadas, disponible para Android y iOS, ofrece, además de los servicios estándar de ID Spoofing, la opción de llamadas en grupo, permitiendo que más de una persona participe en la llamada, lo cual es útil cuando se trabajan con grupos de personas.

Existen muchas más aplicaciones que las enumeradas antes, y no se van a citar en este informe, porque el objetivo es dar a entender que para el conglomerado financiero -en general-, y de otras áreas de negocio o servicios, es sumamente complicado poder citar todas las posibles aplicaciones que ofrece el mercado tecnológico para ser utilizadas como instrumentos en la ingeniería social.  Así que específicamente los bancos no cita aplicaciones en particular, no obstante se puede apreciar que sí, recurrentemente, está realizando recordatorios sobre el cuidado que se requiere tener, precisamente por la existencia de herramientas tecnológicas -como las citadas- y estrategias utilizadas para extraer información de los clientes;  información que ya conocemos, luego será utilizada por los delincuentes para suplantar la identidad -ante los sistemas del banco- en lo que al ingreso o acceso (login) a las plataformas de internet banking se refiere.

FIN