Los ataques informáticos crecen año a año, no solo ataques a grandes empresas o personas públicas si no diariamente a cualquier tipo de persona o sistemas, sobre todo explotando vulnerabilidades de sistemas informáticos o aprovechando el desconocimiento por parte de los usuarios.
Aquí van 11 técnicas y estafas más comunes y cómo protegernos de ellas!
1- Fuerza Bruta
Una de las técnicas utilizadas para poder robar nuestras contraseñas es la llamada Fuerza Bruta. Se trata de la utilización de programas informáticos para realizar de forma automáticas miles de intentos por segundo de ingreso de contraseña hasta que en un momento se da con la contraseña correcta.
Supongamos que tenemos un candado con una combinación de tres números. Esto quiere decir que si tengo la oportunidad de probar mil 1000 veces (desde 000 hasta 999). Una de ellas será la contraseña correcta. Si por ejemplo usamos una contraseña de tres números para nuestra cuenta de email, sería muy fácil y rápido para un atacante obtenerla utilizando este tipo de técnicas.
#VaFirmaTip
Utilizar contraseñas seguras. Contraseñas que sean largas y contengan números letras y otros tipos de caracteres. Esto hace que aumente la cantidad de combinaciones y sea más difícil para los programas informáticos que utilizan los ciberdelincuentes descifrarlas.
Pero si la contraseña es tan difícil que ni tu te la acordas y la tienes que anotar también es peligroso.
Una buena práctica es utilizar frases y sustituir algunas letras por otros caracteres que sean parecidos.
2- Diccionarios y bases vulneradas
Muchas veces los hackers pueden publicar bases de datos con contraseñas usuarios y contraseñas de sitios que han atacado o descubierto. Es posible utilizar estas credenciales por otros ciberdelincuentes en otros ataques ya que es común que ese mismo usuario y contraseña de un sitio que fue vulnerado, se utilice en otros lugares.
#VaFirmaTip
Utilizá contraseñas distintas por cada sitio que estás registrado o por lo menos clasificarlas en tres grupos. Una contraseña para sitios que el daño de que te roben la cuenta no sería tan grande, otra intermedio y otra para los más importantes ( ej. cuenta de banco).
#VaFirmaTiP
También es buena práctica cambiar las contraseñas periódicamente, idealmente 3 meses o inmediatamente luego de que desconfías de una posible vulnerabilidad.
3- Spoofing – Suplantación de Identidad.
Refiere al conjunto de técnicas utilizadas de forma maliciosa para que un individuo se haga pasar por otra persona en la red, con el fin de robar información o acceder a un sitio privado.
Por ejemplo robo de credenciales (usuario y contraseña) para acceder a nuestra cuenta bancaria.
#VaFirmaTip
Algo que ayuda sustancialmente a protegernos de la suplantación de identidad es utilizar al menos dos mecanismos de autenticación distintos.. De este modo si un atacante obtiene un factor de autenticación le faltaría obtener el otro para poder suplantar nuestra identidad. Esto es lo que se conoce como autenticación fuerte, robusta o 2factor y es soportado por muchos sitios como por ejemplo el correo de Gmail.
4- Falsificación de Firma.
Cuando alguien simula la firma de otra persona. Este es un derivado de la suplantación de identidad, que merece un punto aparte ya que es de las estafas más antiguas que se aplican también fuera del mundo online. Los ciberdelincuentes o estafadores pueden intentar realizar una firma simulando ser otra persona, ya sea que recibimos un documento firmado por un supuesto “X” que no existe, o algo más específico como intentar simular nuestra propia firma para obtener un beneficio.
#VaFirmaTip
En el mundo offline, el de lápiz y papel. Cuando se sospecha de que una firma es falsa, existen los Técnicos Peritos que son expertos que analizan la caligrafía y trazos de tinta para determinar si corresponde a la persona o no.
Cuando se quiere firmar un documento en el mundo digital, no se recomienda realizar cuestiones como por ejemplo escanear la firma y pegarla en el documento o escanear el documento con la firma, ya que se pierden las evidencias que pueden comprobar la originalidad de una firma y es muy fácil que un atacante obtenga la firma y replique en otros documentos.
Lo más seguro y no falsificable es utilizar Firma Electrónica Avanzada, o Firma Digitales que utilizan certificados digitales. En caso de no ser viable el uso de este tipo de firmas, es aconsejable utilizar sistemas informáticos que adicionalmente a estampar un dibujo de la firma, registren algún tipo de trazas o auditoría adicional que permita verificar su validez e identificar al firmante.
5- Sniffing – Man in the middle
Son el conjunto de técnicas que permiten a un hacker interceptar el canal de comunicación establecido entre dos sistemas.
Ejemplo. Cuando chateamos con alguien si interceptan el canal de comunicación entre nuestra computadora y la de la otra persona para obtener algún tipo de información. #Sniffing
En ámbitos más avanzados, el atacante incluso podría no solo obtener la información, sino también desviarla y realizar algún tipo de actividad en el medio. Por ejemplo respondernos en nombre de la persona o sistema informático con la cual pensamos que estamos hablando. #MItM
#VaFirmaTIP
Cuando navegamos por internet o utilizamos sistemas de comunicación asegurarnos de que las comunicaciones están cifradas punto a punto.
Cuando navegamos en internet nos damos cuenta si se cumple esto verificando la existencia del candadito al lado de la URL tal como se muestra en la imagen.
6- Phishing
Phising es el clásico “cuento del tío en internet”. Atacantes que salen a “pescar” realizando estafas y simulaciones de todo tipo en grandes cantidades y volumen donde lamentablemente un determinado porcentaje (bastante alto) cae en las trampas y obtienen beneficios de ello.
#VaFirmaTip.
Ser desconfiado.
Saber que datos sensibles nunca se piden en un mail o whatsapp. Nunca el banco nos va a pedir que le enviemos nuestra contraseña. Lamentablemente es muy difícil que ganemos un premio que no esperamos o un beneficio excesivamente grande. Así que no caigas en esas trampas.
No abrir mails que no esperamos o de personas desconocidas.
7- Ingeniería Social
La ingeniera social es utilizada por todos los ciberdelincuentes, se utiliza siempre en todos los conjuntos de técnicas aplicadas. Es el arte de investigar y conocer más sobre la víctima u objetivo que se pretende atacar. Por ejemplo, si quiero obtener accesos o información sensible de una empresa, quizá lo primero y más fácil sea revisar donde tiran la basura de esa empresa en búsqueda de información. seguir armando una estrategia en función de los datos obtenidos.
Si quiero saber el pin de una persona, se podría por ejemplo revisar en sus redes sociales cuál es su fecha de nacimiento, o la de sus hijos. Y empezar haciendo pruebas con esos datos o combinados.
Mirar en las redes sociales fotos, etiquetas obtener datos e información que puedan ayudar al atacante a obtener un beneficio.
#VaFirmaTip
Revisar las políticas de privacidad y seguridad de los sistemas y redes sociales que utilizamos y ser lo más restrictivos posibles.
Ser prudentes con la información que compartimos, no compartir información privada nuestra ni de otros.
Revisar y tener cuidado con la información que compartimos en una foto, muchas veces haciendo zoom o mirando los fondos de una foto podemos estar publicando información que pueden explotar los ciberdelincuentes. Ejemplo. Número de puerta de la casa, pantallas de monitores con información.
Usá siempre buenas prácticas para formar tus contraseñas que no incluyan datos como nombre de nuestros hijos o fechas de cumpleaños..
8- Malware
El malware es el nombre genérico a todo tipo de virus o programa malicioso que buscan explotar una vulnerabilidad de un sistema.
#VaFirmaTip
Mantener actualizado y con la última versión el sistema operativo de los dispositivos y software en general. Cada vez que se detecta una vulnerabilidad los fabricantes de software le ponen un “parche” que lo protege y liberan una nueva versión. Si no mantenemos actualizado los software que usamos, estamos dejando agujeros abiertos para los atacantes.
9- Wifi Público y redes abiertas.
Cuando nos conectamos a redes abiertas estamos muy expuestos a que nos roben datos Combinando técnicas como por ejemplo sniffing y man in the middle entre otras es sencillo que nos roben datos. Incluso es posible que los atacantes pongan redes públicas cerca de hoteles o lugares públicos quedando totalmente expuestos a que nos roben información ya que cuando nos conectamos a esa red, lo que estamos haciendo es prácticamente metiendo al atacante dentro de nuestro computador.
#VaFirmaTip
Minimizar el uso de redes públicas al máximo.
Jamás ingresar datos sensibles como números de tarjetas de crédito en redes públicas, equipos desconocidos o compartidos.
10- DooS
Estos refieren a los ataques de denegación de servicios. Es cuando un atacante colapsa a propósito un servicio informático imposibilitando su uso. Generalmente se logra automatizando el consumo masivo de un sistema hasta que éste se queda sin recursos y queda fuera de servicio.
#VaFirmaTip
Las tan odiados captchas es una buena práctica de los sistemas informáticos para prevenir este tipo de ataques. Ya que evita que puedan automatizar las llamadas a por ejemplo un formulario de registro.
11- Ransomware
Este ataque se refiere al secuestro de un equipo informático. El ciberdelincuente logra impedir el acceso al disco duro de nuestra computadora o un sistema informático, pidiendonos el pago de un rescate para su liberación. Así es, un día x nos puede pasar prender nuestra computadora y ver una pantalla como estas:
#VaFirmaTip
Mantener respaldos en discos extraíbles u otros equipos de todos los activos de información.
En resumen
La mayoría de estas estafas se pueden realizar fácilmente con algunos conocimientos informáticos y de telecomunicaciones, lamentablemente el número de incidentes informáticos de este tipo es cada vez mayor. Varios estudios dimensionan al mercado de de la ciberdelincuencia como más grande que el del tráfico de drogas.
Los llamados CERT son los centros de atención y respuesta de incidentes informárticos, donde personas y empresas pueden reportar incidentes informáticos y protegen a los Estados de ataques informáticos. Generalmente también hacen gran trabajo en sensibilización y difusión en temas de seguridad informática, como es el caso del CERTuy en Uruguay y la excelente campaña de sensibilización de Seguro te Conectas, o INCIBE en España con excelentes campañas de senisbilización también.
Esperamos que estos tips te sean de utilidad y así como cuidas la seguridad de tu casa, te recomendamos que cuides la seguridad de tus sistemas informáticos!