Inicio
Seguridad

Ingeniería social, phishing, contraseñas y fraudes

Son las 09:34 y Juan recibe un mail de su banco, en el cual le avisan que hubo algún problema y que ya fue resuelto. Juan se sorprende porque efectivamente la semana pasada hubo un momento en que no pudo entrar a la página web. El mensaje le pide a Juan ir al sitio web del banco e ingresar sus datos y contraseña. Juan hace clic en el link que aparece en el mensaje. Se abre el navegador con una página y ve que todo está como siempre, por lo tanto, procede a ingresar sus datos y la contraseña. Horas más tarde, vuelve a ingresar y se da cuenta de que ya no tiene un peso en su cuenta corriente. Acaba de ser engañado.

 foto1Esta historia se repite cada semana, cada día y siempre cobra víctimas. En una campaña de este tipo, con más de 10 mil correos enviados, la posibilidad de que al menos una persona siga las instrucciones es altísima.

Detrás de esto hay personas. Esto, más que por un hacker, es llevado a cabo por el mismo tipo de personas que vende artículos falsos o hace cambiazos. Es algo que se hace desde las más remotas épocas. El engaño, el timo, el cuento del tío.

Pero, ¿por qué hacen esto?

En el caso de los fraudes bancarios, la gran mayoría son realizados con el fin de obtener acceso a cuentas bancarias y robar dinero realizando transferencias. En otros casos, simplemente se usan las cuentas con el fin de enviar SPAM.

Contraseñas, claves, llaves

Las contraseñas o claves hoy en día son casi equivalentes a las llaves de la casa. Uno no va por la vida repartiendo copias de las llaves a cualquier persona en la calle. En Internet es igual. Debemos resguardar las contraseñas como si fueran las llaves de nuestra casa.

Las organizaciones que disponen servicios basados en Internet, no piden las contraseñas a los usuarios. De hecho, la gran mayoría tampoco las almacena(1), lo cual impide recuperarlas. Es por eso que cuando se olvida la contraseña suelen existir mecanismos para crear una nueva, pero no para recuperar la anterior, dado que es altamente inseguro el tránsito de la contraseña en texto claro por medios como Internet. Los sitios web que hacen esto no han sido bien diseñados.

Es importante tener presente que no corresponde que una organización nos pida las contraseñas por mail o por teléfono. Ni siquiera personalmente. Las contraseñas sólo deben ser usadas para autentificarse. Debemos ser muy celosos con este dato, pues al momento de ocurrir problemas derivados de este tipo de descuidos, algunas organizaciones suelen asociar completamente la responsabilidad al usuario, dejándolo casi a la deriva.

Ingeniería social

La ingeniería social consiste en obtener información que usualmente la gente no entregaría. Por ejemplo, un primer intento podría ser ir a la calle y pedir la contraseña bancaria al primer transeúnte que veamos. Probablemente, no lograremos más que alguna palabrota sin éxito. Sin embargo, si en lugar de esto llamamos por teléfono simulando ser un ejecutivo, probablemente lograremos algo.

En Internet se hace lo mismo. Hoy, más que ataques sofisticados desde el punto de vista técnico, existe una sofisticación en la ingeniería social.

¿Cómo evitar caer en un fraude?

foto2

Cada día, mientras hay personas trabajando en hacer impenetrables los sistemas de seguridad, hay otras que intentan vulnerarlos. Debemos tener esto muy presente, dado que hoy los negocios se hacen sobre la red. El interés va a existir porque hay dinero de por medio.

Aún así, podemos tomar algunas medidas de precaución como las siguientes:

Nunca entregar la contraseña a otras personas por ningún medio. Es personal.

 

  • La Universidad jamás te pedirá la contraseña por mail o telefónicamente.
  • Cuando quieras entrar a un sitio web en el que debas ingresar tu contraseña, hazlo escribiendo directamente la dirección (url) en el navegador. No hagas clic en imágenes o enlaces que aparezcan en correos electrónicos, otros sitios web o incluso en el mismo navegador.
  • Verifica que la dirección que aparece en el navegador, después de presionar la tecla Enter, es la que ingresaste.
  • No ingreses a tus servicios web desde cyber cafés. Son ambientes muy contaminados e inseguros.
  • Evita ingresar desde otros computadores, si no tienes certeza de que están sanos.
  • Mantén tu antivirus actualizado; de lo contrario, es como no tenerlo.
  • Utiliza más de un navegador. Si usas Windows, ten en consideración que Internet Explorer: es el navegador más usado y blanco masivo de ataques de seguridad.
  • La gran mayoría de sitios web que requieren uso de contraseñas, utilizan HTTPS, un protocolo que permite que la comunicación entre el navegador y el servidor viaje encriptada. Esto evita que terceros puedan capturar datos en el camino.
  • No escribas tu contraseña en papeles.
  • Utiliza contraseñas fuertes, que incluyan números, letras y ojalá caracteres de puntuación.
  • Cambia tu contraseña con frecuencia.
  • Si te conectas por medio de WiFi debes navegar en forma segura para acceder a tus servicios web.

 

Recuerda siempre mantener tu equipo sano y tu escritorio limpio.

Notas
(1) En términos simples, lo que en realidad se almacena es una parte de tu contraseña, llamado hash, que corresponde al resultado de la aplicación de una función matemática sobre la contraseña original. Esta función es unidireccional, es decir, no se puede obtener la contraseña teniendo el texto del hash, sólo se puede obtener el hash aplicando la función sobre la misma contraseña, en consecuencia nadie puede saber la clave de otro a menos que explícitamente su dueño la de o alguien la capture al ser transmitida por un medio inseguro (no encriptado).

 

Mapa del sitio
Campus San Joaquín - Edificio Centro Desarrollo Docente - Teléfono: (56 2) 2 354 5555 - Correo: 5555@uc.cl
2014 Pontificia Universidad Católica de Chile - Avda. Vicuña Mackenna 4860, Macul - Santiago, Chile