Coronavirus: ingeniería social para robar tus datos personales

6 abril, 2020 por Govertis Blog, ITLaw 0 comentarios

Coronavirus: ingeniería social para robar tus datos personales

Los ataques informáticos no han aparecido con la situación actual de pandemia mundial provocada por el Covid-19 sino que vienen siendo una constante en los últimos años. Puesto que los ciberdelincuentes usan técnicas de ingeniería social para lograr su propósito criminal, era seguro que usarían una situación de alarma social como una más de sus tretas y artimañas delictivas.

Cuando hablamos de ingeniería social, nos estamos refiriendo a técnicas que tratan de engañar al usuario utilizando la probabilidad que la víctima actúe conforme a los usos sociales previstos, valiéndose de ello de engaños mediante simulación de marcas conocidas, engaños basados en la empatía que un ser humano puede tener ante determinadas circunstancias extremas de sus iguales, fakenews, engaños en un contexto de alarma social como es la situación actual, y así un largo etcétera.

Tanto las organizaciones como los destinatarios de esas actividades delictivas deben estar alerta y ser conocedores de estas prácticas para no caer en esos engaños, saber como denunciarlos y, lo que es más importante desde el punto de vista de las organizaciones, saber cómo combatirlos.

Muchos de estos engaños, ciberestafas y ciberataques se realizan suplantando la identidad de marcas conocidas, generalmente grandes empresas. Por poner algunos ejemplos, las técnicas más conocidas son las siguientes:

  • Remisión de correos electrónicos simulando que el remitente pertenece a esa marca conocida. En la mayoría de los supuestos la dirección de email es muy parecida a un email real utilizado por un usuario con la finalidad de inducir a error (por ejemplo sobre un email real de info@grupoaa.com se crea para delinquir otro muy parecido info@grupoao.com ) y en otros supuestos los cibercriminales sí que han podido acceder a la cuenta de correo electrónico del usuario para realizar envíos sin su conocimiento. El tipo de ciberdelito puede ser muy variado, desde solicitar transferencias bancarias, adjuntar archivos o links que contienen virus informáticos etc).
  • Falsificación de páginas webs. En este supuesto nos remitirán un correo electrónico, whatsapp, etc., fraudulento intentando que demos nuestros datos bancarios o de tarjeta de crédito, claves de acceso etc. Es muy importante verificar para no caer en estos delitos que la dirección de la página web comienza por https:// puesto que esto indica que esa página web está verificada y coincide con la creada por el legítimo propietario de ese dominio. También puedes cotejar esa información con fuentes oficiales o buscar la veracidad de la noticia en uno de los buscadores de Internet.
  • Uso de fakenews viralizadas por redes sociales y sistemas de mensajería instantánea que redirigen a links que contienen virus o datos adjuntos en las mismas que contienen virus y se ejecutan al abrir el adjunto.

Ante estas acciones maliciosas que podrían llegar a ser constitutivas de delito, tanto los destinatarios de las acciones en calidad de víctimas como las organizaciones que sean suplantadas tienen el derecho y el deber de denunciar estas prácticas. Y quiero destacar a las segundas puesto que se está utilizando su marca y su reputación online para inducir a error a sus clientes, empleados, proveedores y público en general con los correspondientes daños que puede provocar en su reputación online.

Las medidas que puede adoptar la organización que se vea afectada por estas prácticas, son, entre otras, las siguientes:

  • Comunicado a clientes, empleados, proveedores, etc., utilizando todos los canales disponibles a su alcance: correo electrónico, alertas en redes sociales, etc.
  • Presentar denuncias. Para ello puedes y debes utilizar estos mecanismos habilitados a tal efecto:
  • Reportar el fraude al Instituto Nacional de Ciberseguridad en el correo electrónico incidencias@incibe-cert.es que incluso puede activar el procedimiento de bloqueo de esa página web fraudulenta o retirada de la misma mediante requerimiento al proveedor donde se encuentre alojada.
  • Presentar denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado. Tanto Policía Nacional como Guardia Civil cuentan con unidades especializadas en este tipo de delitos. En el caso del Cuerpo Nacional de Policía puede presentarse una denuncia por Internet o de manera presencial y la Guardia Civil ha habilitado estas direcciones de correo electrónico: ciberestafas@guardiacivil.org
  • Puesto que en los últimos días se han registrado alrededor de 4.000 dominios maliciosos relacionados con las palabras de moda (coronavirus, covid19 y todas las variantes imaginables), desde los que los ciberdelincuentes llevan a cabo diferentes tipos de campañas (web, correos, …), el CCN-CERT ha recopilado en tres listas negras los indicadores que permiten la detección y bloqueo de muchas de estas campañas: listas de IP, dominios y hashes de las muestras empleadas. Estas listas se irán actualizando periódicamente. Se pueden descargar dichas listas en este enlace.

Francisco Ramón González-Calero Manzanares

Lead Advisor Internacional en @govertis

Artículos Relacionados

por Govertis5 septiembre, 20150 comentarios

Bienvenido al blog experto en Gobierno TI, Seguridad, Riesgo y Cumplimiento Normativo

por Govertis4 enero, 20160 comentarios

Aspectos TIC en la reforma de la LECRIM (Parte I)

por Govertis27 enero, 20163 comentarios

LA PROTECCIÓN DE DATOS: 15 AÑOS ANTES Y 15 DESPUÉS…

Escribe un Comentario!

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

El Teletrabajo una realidad; Decálogo de buenas practicasEntrada anterior:
DATOS MÓVILES COMO SALIDA DE LA CRISIS DEL CORONAVIRUS: APUESTA DE LA UNIÓN EUROPEASiguiente entrada