Como sabes, esta semana estamos dedicando gran parte de nuestros contenidos telescópicos a la ciberseguridad, como parte de nuestra celebración del día de Internet Segura. Hoy queremos explicarte algunas de las técnicas más utilizadas por hackers de todo el mundo, con el objetivo de acceder a tus dispositivos y, generalmente, extraer datos de forma ilícita o directamente robarte el dinero. 

El primero que hemos seleccionado es el denominado ataque SIM swapping [que podríamos traducir como “cambio de SIM”]. Como explica la agencia europea para la ciberseguridad, Enisa, este tipo de incidentes suele comenzar con una recogida de detalles personales sobre ti [en el caso de que seas la víctima]. “Existen muchas formas de conseguir esos datos personales, se puede hacer a través de ingeniería social, phising, malware o exploración de información procedente de brechas de datos o investigando en las redes sociales”, explican desde la institución. 

El objetivo del SIM Swaping es llevar a cabo fraudes bancarios

Fraudes

Una vez que tiene la información necesaria, el atacante es capaz de convencer a la operadora de la red móvil para transferir tu número a una nueva tarjeta SIM que queda bajo su control. También hay veces que realizan la gestión directamente online. 

El resultado es que “el atacante se hace con el control de la cuenta y puede recibir todos los SMS y llamadas de voz dirigidas al suscriptor legítimo”, detallan desde Enisa. El objetivo es “llevar a cabo fraudes bancarios, pero también saltarse el doble factor de autenticación (2FA) utilizado para asegurar las redes sociales y otras cuentas digitales”. 

Si recibes llamadas telefónicas que solicitan que compartas un código o SMS puedes estar siendo víctima de un ataque

Cómo detectarlo

La agencia señala como signos de que se puede estar sufriendo un ataque de este tipo si se reciben llamadas de teléfono extrañas que solicitan que compartas códigos o mensajes SMS que hayas recibido de tu proveedor de telefonía móvil. 

Otro de los síntomas es la pérdida de conexión a la red por largos períodos de tiempo, durante los cuales no puedes recibir ni realizar llamadas. Y, por útlimo, si se han producido transacciones sospechosas en tu cuenta bancaria o si no puedes acceder a tus cuentas de correo electrónico o en las redes sociales. 

Nunca hay que facilitar información personal a alguien que asegure ser un representante de tu proveedor de telecomunicaciones

Qué hacer

En caso de haber percibido alguna de estas señales de alarma, lo mejor es contactar de forma inmediata con tu proveedor de telecomunicaciones y, en caso de que se confirme el SIM Swap, comunicarlo a la mayor brevedad a tu entidad bancaria y cambiar todas las contraseñas. Además, claro está, de denunciarlo a la policía. 

Para evitarlos, la agencia sugiere, por supuesto, nunca facilitar ninguna información de índole personal a alguien que asegure ser un representante de tu proveedor de telecomunicaciones. 

Además, tampoco se deben compartir contraseñas por teléfono, especialmente si son de uso único. Y es recomendable utilizar aplicaciones que cuenten con doble factor de autenticación, en lugar de aquellas que lo hacen a través del móvil o de SMS.

Por último, hay que tener cuidado con la información personal que se comparte en webs y en redes sociales; así como evitar abrir enlaces o archivos adjuntos sospechosos recibidos por email o SMS. 

Hay que utilizar diferentes contraseñas y evitar que sean fáciles de descifrar

Contraseñas, vishing, smishing....

La Oficina de Seguridad del Internauta [OSI] también llama la atención sobre la necesidad de gestionar las contraseñas de forma correcta: no usar siempre la misma y evitar que sean fáciles de descifrar, ni apuntarlas en notas o archivos sin cifrar. Tampoco es conveniente hacerlo en el navegador ni utilizar el clásico patrón de mayúscula + cuatro o cinco minúsculas + uno o dos números, que ya es bien conocido por la ciberdelincuencia y facilita uno de los ataques más básicos, pero también más utilizados: el de fuerza bruta. 

La OSI advierte también sobre los ataques basados en ingeniería social. En especial, el phising, para el que “suele emplearse el correo electrónico, redes sociales o aplicaciones de mensajería instantánea''. 

También destaca el Vishing, que se lleva a cabo mediante llamadas telefónicas; y el Smishing, que utiliza los SMS. “En ocasiones, traen consigo un enlace a una web fraudulenta, que ha podido ser suplantada, fingiendo ser un enlace legítimo, o bien se trata de un archivo adjunto malicioso para infectarnos con malware”, explican. 

En algunos casos, el ataque se centra en una persona en concreto. Es el conocido como Spear Phising. Quienes perpetran este tipo de delito, utilizan técnicas de manipulación para recabar información sobre su objetivo para incrementar sus posibilidades de éxito. 

Otra fórmula es el Baiting o Gancho, que “se sirve de un medio físico y de nuestra curiosidad o avaricia. Utilizando un cebo, los atacantes consiguen que infectemos nuestros equipos”.

“El medio más utilizado son los dispositivos USB infectados que los atacantes colocan en sitios estratégicos, como lugares públicos con mucha afluencia de personas o en la entrada de las empresas”, explica la OSI.

También hay otro tipo de ataques, como el Shoulder surfing o “mirar por encima del hombro” y que es el motivo por el que en los cajeros automáticos te recomiendan tapar el teclado con la mano.  Por su parte, el Dumpster Diving o “rebuscar en la basura” se dirige especialmente contra grandes organizaciones o a individuos concretos con acceso a información sensible.