IMPULSO/ Agencia SUN
México
La seguridad digital es un tema de gran importancia que deben conocer los usuarios de Internet sin importar que los proveedores de servicios prometan mantener la información de sus clientes a salvo.
Con motivo del Día Internacional de la Seguridad de la Información, Enjoy Safer Technology (ESET) Latinoamérica, compañía dedicada a la detección proactiva de amenazas, dio a conocer algunos puntos clave para saber si una persona puede ser engañada por los cibercriminales.
1. No saber cómo es la URL del sitio que se busca:
Los criminales de la red utilizan estrategias de Blackhat SEO para posicionar en los primeros resultados de búsqueda los sitios en donde suplantan la identidad de servicios legítimos con el fin de engañar a los usuarios para que ingresen creyendo que están en la página oficial. Por ello y sin importar la confianza que se tenga en los buscadores como Google, Bing, Yahoo u otro, es probable que un sitio falso esté posicionado.
2. Dejarse llevar por el mensaje en el asunto de un correo:
Para asegurar que los usuarios caigan en la trampa, los cibercriminales aprovechan el campo de asunto del correo para intentar manipular las emociones y generar sentimientos que impulsan la toma de decisiones conducidas por la euforia o la desesperación.
Un ejemplo de esto son los correos de supuestos premios o hasta una herencia. También, existen campañas que buscan generar paranoia con correos que llegan con las contraseñas o números de teléfono personales en el asunto o que afirman que nuestra cuenta ha sido hackeada. Para estos casos lo primero que se debe hacer es no perder la calma y no responder.
3. No revisar la dirección de correo de los remitentes:
Que el mensaje incluya un nombre real no asegura que sea genuino, existen diversas maneras de obtener ese tipo de información por parte de los actores maliciosos. Por lo tanto, ESET recomienda analizar la dirección del remitente para interpretar si se está ante una situación sospechosa o no.
Correos de un banco del cual no se es cliente, del representante de una empresa o servicio y que el dominio del correo sea de un servicio de correo gratuito, como Gmail o Hotmail o correos que aparentan ser de una empresa legítima cuyo dominio incluya el nombre de una empresa legítima pero escrita por otros caracteres, son solo algunos.
4. No revisar las URL de destino:
Otra práctica importante es revisar a dónde direccionan los enlaces a los que se accede, muchas campañas de ingeniería social esconden falsas URL que aparentan ser legítimas. Para descubrir si es verídico o no, a veces es suficiente pasar el cursor sobre el hipervínculo y chequear si la cuenta coincide con el nombre del supuesto sitio.
Algo similar ocurre con las herramientas para acortar enlaces, al usarlas, no se puede ver el nombre de la URL final. En caso de sospechar de un engaño, también existen herramientas para descubrir el contenido del enlace antes de abrirlo, como por ejemplo: Unshorten.It.
5. Compartir información personal a través de las redes sociales:
Gran cantidad de usuarios no es consciente de los riesgos de la sobreexposición en las redes sociales y fácilmente comparten datos personales como fecha de nacimiento, número de teléfono, domicilio, etc.
Por lo tanto, además de pensar dos veces antes de compartir algo en las redes sociales, configura correctamente la privacidad de tus cuentas en cada una de las plataformas utilizadas que pueda filtrar tu información y actividad. Toma en cuenta que de lo contrario, estarás expuesto a que un cibercriminal pueda construir un perfil falso bastante preciso sobre un ti simplemente recopilando información de tus perfiles y las actividades que compartes.
6. Dar como seguro un sitio web solo porque tiene HTTPS:
Ya no basta con que un sitio tenga HTTPS y un candado para determinar qué se trata de un sitio seguro. Si bien es verdad que en un inicio las páginas fraudulentas utilizaban un protocolo HTTP, en la actualidad los atacantes también pueden hacer lo mismo y obtener un certificado SSL/TLS válido y de manera gratuita.
7. Confiar demasiado en un servicio o plataformas de uso masivo.
La intención no es desconfiar de todo, pero sí de estar prevenido e informado sobre cuáles son los vectores de ataque utilizados por los cibercriminales. Es común que en las redes sociales, los cibercriminales generen cuentas falsas para suplantar la identidad de compañías legítimas e incluso realizan campañas publicitarias con falsas promociones (malvertising ) provocando que los usuarios ingresen a un enlace para robar sus datos.
8. No dudar en abrir un archivo adjunto que viene en un correo no solicitado:
Los usuarios de Internet deben recordar y saber que un banco o entidad seria no suele enviar archivos adjuntos sin que exista una solicitud previa de nuestra parte. El hecho de que llegue un archivo adjunto que no se solicitó debería ser motivo de sospecha inmediata. Las entidades financieras, por ejemplo, nunca solicitan por correo el envío de información personal. Por lo tanto, en caso de recibir una petición de este tipo se debería desconfiar y contactarse directamente con la entidad para verificar la legitimidad del correo.