Como vimos en el artículo anterior, existen distintos tipos de ciberataques a los que día a día somos expuestos como usuarios. Siguiendo con nuestra serie sobre la “Guía de ciberataques. Todo lo que debes saber a nivel usuario.” de INCIBE, tocaremos hoy los cuatro subtipos restantes de ataques por ingeniería social.

Recordamos que los ataques por ingeniería social se basan en un conjunto de técnicas dirigidas a nosotros, los usuarios, con el objetivo de conseguir que revelemos información personal o permita al atacante tomar control de nuestros dispositivos.

Ya explicamos con detenimiento el phishing, vishing y smishing, así como el baiting o gancho, con lo que nos quedan otros modelos bastante comunes y de los que seguro has oído hablar:

  • Shoulder surfing
  • Dumpster Diving
  • Spam
  • Fraudes online

Shoulder Surfing.

Es una técnica mediante la que el ciberdelincuente consigue información de nosotros, como usuarios concretos, mirando “por encima del hombro” desde una posición cercana, mientras que utilizamos los dispositivos sin darnos cuenta.

¿Cómo se propaga/infecta/extiende?

No dispone de un medio de propagación, pero es habitual darse en lugares públicos, como cafeterías o centros comerciales, y en transportes, mientras utilizamos nuestro equipo, o en cajeros automáticos.

¿Cuál es su objetivo?

El objetivo es, como en otros ataques por ingeniería social, el robo de información: documentos confidenciales, credenciales, contactos, códigos de desbloqueo, etc.

¿Cómo me protejo?

La opción más segura es evitar que terceros tengan visión de nuestra actividad y, en sitios públicos, eludir compartir información personal o acceder a nuestras cuentas. También se recomienda utilizar gestores de contraseñas y la verificación en dos pasos para añadir una capa extra de seguridad a las credenciales.

Finalmente, debemos cerciorarnos de que no hay terceras personas observando nuestro dispositivo, especialmente a la hora de ingresar datos personales. Podemos utilizar medidas físicas, como los filtros “anti-espía”. Se trata de una lámina fina que podemos colocar sobre la pantalla de nuestro dispositivo para evitar que terceros puedan ver su contenido desde distintos ángulos.

Dumpster Diving.

En ciberseguridad, se conoce como el proceso de “buscar en nuestra basura” para obtener información útil sobre nuestra persona o nuestra empresa que luego pueda utilizarse contra nosotros para otro tipo de ataques.

¿Cómo se propaga/infecta/extiende?

No dispone de un medio de propagación, pero está dirigido principalmente a grandes organizaciones o a individuos en concreto de los que se pueda obtener información sensible. El usuario afectado podría haber tirado a la basura documentos importantes o información personal muy valiosa para un atacante.

¿Cuál es su objetivo?

Su objetivo son documentos, anotaciones y demás información sensible que hayan podido tirar a la basura por descuido, como números de tarjetas de crédito, contactos, anotaciones con credenciales, etc.

También buscan dispositivos electrónicos desechados a los que acceder y sacar toda la información que no haya sido borrada correctamente.

¿Cómo me protejo?

La única medida de protección que debemos seguir es la eliminación segura de información. Desde una trituradora de papel para el formato físico, hasta seguir los pasos para la eliminación segura de información digital.

Spam.

Consiste en el envío de grandes cantidades de mensajes o envíos publicitarios a través de Internet sin haber sido solicitados, es decir, se trata de mensajes no deseados. La mayoría tienen una finalidad comercial, aunque puede haberlos que contengan algún tipo de malware.

¿Cómo se propaga/infecta/extiende?

El canal más utilizado sigue siendo el correo electrónico, pero se sirve de cualquier medio de Internet que permita el envío de mensajes, como las aplicaciones de mensajería instantánea o las redes sociales.

¿Cuál es su objetivo?

Los objetivos son muy variados. Desde el envío masivo de mensajes publicitarios, hasta maximizar las opciones de éxito de un ataque de tipo phishing a una gran población, o tratar de infectar el mayor número posible de equipos mediante malware.

¿Cómo me protejo?

La recomendación es nunca utilizar la cuenta de correo electrónico principal para registrarnos en ofertas o promociones por Internet. Además, es fundamental configurar el filtro antiSpam para evitar la recepción de este tipo de mensajes. Otros medios, como las redes sociales, también cuentan con medidas de protección similares pero lo mejor es ignorar y eliminar este tipo de mensajes.

Fraudes online.

La ingeniería social es utilizada frecuentemente para llevar a cabo todo tipo de fraudes y estafas online con las que engañarnos a los usuarios para que revelemos nuestros datos personales, o con las que obtener un beneficio económico a nuestra costa.

Existen una gran variedad de fraudes, y sus objetivos y medidas de protección pueden variar de un tipo a otro. Para aprender a identificarlos y a actuar ante ellos, la OSI pone a nuestra disposición una guía para aprender a identificar fraudes online, donde se incluye: falsos préstamos, tiendas online fraudulentas, falsos alquileres, falso soporte técnico, sextorsión y muchos otros.


Puedes acceder a la guía completa en el siguiente enlace: https://www.osi.es/es/guia-ciberataques