Los siete pecados capitales del usuario en ciberseguridad

Con los avances en la digitalización y con la facilidad de tener todo al alcance de la mano en un celular o una computadora, los ciberdelincuentes utilizan la ingeniería social para robar datos y obtener ganancias ilícitas, así lo explicó Israel Sánchez Hernández, principal manager security operations en BBVA México, en su ponencia “Los siete pecados capitales”, presentada en la sede central de la Semana Nacional de Educación Financiera (SNEF) 2023.

Sánchez realizó un sondeo en el auditorio para conocer quién había recibido algún mensaje considerado como fraudulento. Más del 90% de los presentes levantaron la mano. Por ello explicó que a través de la ingeniería social los delincuentes utilizan técnicas que se valen de las emociones del ser humano (miedo, enojo, tristeza, alegría, confianza, etcétera) para engañarlo y manipularlo buscando que las potenciales víctimas realicen acciones inseguras.

Los ciberdelincuentes, manipulando las emociones a través de un mensaje, llamada o correo electrónico, buscan que la persona dé clic a un link malicioso, que se ingrese a sitios falsos, que se comunique a números donde se busca consolidar el fraude, o bien que el usuario comparta información confidencial o descargue archivos que contienen algún malware. Para dimensionar la frecuencia de esta situación, Sánchez detalla que en 2022 la empresa Kaspersky detuvo más de 507 millones de intentos de clic en vínculos maliciosos, por otra parte, los reportes de phishing detallan que en el 67% de los casos se intenta suplantar a entidades bancarias y en un 14% a sitios de e-commerce.

Los siete pecados capitales

El experto propuso una manera didáctica de explicar cómo se pueden enlazar los siete pecados capitales con acciones que, a través de la ingeniería social, buscan vulnerar la seguridad de la información.

1. Soberbia: Mensajes que apoyándose en este pecado señalan que “entre todos nuestros clientes eres ¡el elegido!”, o aquellos en los que se anuncia “¡eres el cliente un millón!. Para hacerte ganador da clic aquí o confirma algunos datos”.
2. Avaricia: Un regalo o dinero extra nunca está de más. El mensaje recibido señala al receptor como poseedor de un regalo en efectivo, normalmente amparado con la imagen de una empresa comercial reconocida, con argumentos cómo, “por nuestro aniversario… en el día de las madres…” buscando así obtener su información.
3. Lujuria: Para este pecado, Sánchez, explica cómo a través de mensajes y correos se puede engañar a una persona, “enamorándola” o suplantando alguna identidad de una persona pública y pedir dinero con la finalidad de poder costear los gastos de hacer una visita desde algún país lejano y poder conocerse en persona.
4. Ira: El experto señala que cuando estamos enojados, podemos reaccionar sin pensar a profundidad. Un ejemplo es recibir un video (ofensivo o de carácter privado) en donde hagan creer al usuario que es la persona que aparece ahí. La persona al recibir el mensaje y pretender ver el video para asegurar que la persona que aparece no es él, se pueden instalar aplicaciones maliciosas, que buscan robar datos almacenados en el dispositivo

Podría intersarle: BeyondTrust presenta sus predicciones sobre ciberseguridad para 2024

5. Gula: “Un año de pizza gratis”. Mensajes que se reciben con promociones similares indicando que para hacerse acreedor al premio es necesario llenar una encuesta. Estos mensajes utilizan la imagen de empresas reconocidas, pero con una dirección de internet diferente (aunque aparenta ser la oficial). Al ingresar se puede descargar un malware. O bien, en el desarrollo de la encuesta solicitan los datos bancarios para supuestamente pagar la inscripción a la promoción por un monto pequeño.

6. Envidia: En un proceso de ingeniería social buscan llegar a personas que les gustaría obtener un bien que otras personas tienen y que les genera envidia. Un ejemplo es la recepción de una notificación para participar en el sorteo de un automóvil nuevo por el aniversario de una armadora o bien obtenerlo a descuentos muy elevados por cambio de flotilla de una empresa reconocida. Al ingresar a la página, los defraudadores operan de la misma forma que en el pecado de la gula.

7. Pereza: Actualmente, esta modalidad es muy común; se refiere a aquellas ofertas de trabajo que se reciben por mensaje para trabajar desde casa, con sueldos atractivos y pocas horas de trabajo. En caso de contestar y descargar aplicaciones para poder llevar a cabo el trabajo, se puede dar acceso a todo el dispositivo (fotos, contactos, llamadas, etcétera) y con ese material se puede ser sujeto de extorsiones.

Medidas de protección

Antes de responder o ingresar a una página sugerida en un mensaje o correo, se pueden revisar algunos puntos de seguridad para asegurar si el mensaje es genuino o si se trata de una estafa. El primer punto es conocer el origen de la llamada o del mensaje e identificar quién la está realizando. ¿Es de un contacto registrado o verdaderamente el número corresponde a la empresa que supuestamente está llamando?

Analizar el contexto personal. Preguntarse si en las actividades habituales se esperaba un mensaje así; por ejemplo, si realmente se estaba esperando un paquete en mensajería de la empresa señalada, o bien, si se había buscado un empleo de medio tiempo en casa, como se mencionó en el pecado de la pereza. Una señal de alerta en estos casos es si están solicitando realizar alguna acción, como compartir datos o enviar mensajes.

Sánchez explica que una medida muy importante es revisar el texto para verificar si contiene faltas de ortografía, incoherencias o inconsistencias en el mensaje, ya que, al tratarse de algo masivo, no se cuidan estos aspectos. Finalmente, el experto explicó cómo funcionan las principales técnicas que utilizan los ciberdelincuentes como el smishing, phishing y vhishing.

FUENTE: Reyna, Armando. »Los siete pecados capitales del usuario en ciberseguridad» Bbva.com. 15/11/2023. (https://www.bbva.com/es/innovacion/los-siete-pecados-capitales-del-usuario-en-ciberseguridad/).