Conoce estas técnicas de Ingeniería Social para protegerte de ellas

Conoce estas técnicas de Ingeniería Social para protegerte de ellas

Lorena Fernández

La Ingeniería Social es una de las técnicas que tienen mayor efectividad para robar datos, hacerse con credenciales de usuario y estafar a los usuarios. La Ingeniería Social se vale meramente de la ingenuidad e incluso, ignorancia del usuario, el cual pone en riesgo sus propios datos. Esto también se aplica al ámbito corporativo. Millones de dólares en pérdidas se generan, por ejemplo, a causa de proporcionar datos sensibles a un falso operador de atención al cliente de un banco. En este artículo, os explicaremos algunas técnicas que no son tan conocidas de Ingeniería Social, sin embargo, es altamente probable que te hayas topado con una o más de ellas.

El símbolo del @

No hay una denominación en concreto, pero sí que puede resultar engañoso. Incluso para los profesionales de Seguridad Informática. Puede ser que en algún momento hayas recibido un mensaje de correo electrónico de un destinatario que no conoces y con contenido extraño. Más extraño aún resulta que tenga indicaciones para acceder a un enlace con este formato:

  • https://empresa.com@dominiomalicioso.com

Lo que resaltamos en negrita sería el símbolo del @ seguido del host a donde quiere que el usuario se dirija después de hacer clic en el enlace. En este caso, se trataría del host malicioso. Lo que está antes del @, sería el sitio web legítimo de la compañía. ¿Te ha pasado algo así? En cualquier caso, presta mucha atención a cualquier enlace al cual quieras acceder.

Codificación Maliciosa

Fijémonos en la siguiente URL:

  • https://empresa.com@%A0%C7%21%B2%B5%64%A0%D1%C0%B8%.

Puede ser que nos encontremos con un enlace codificado o acortado. Generalmente, se utilizan estos procesos de codificación cuando compartimos enlaces en otros portales o con otras personas. Cuando vemos algo así y queremos saber de qué trata dicha URL, simplemente posamos el cursor encima, de esta forma, logramos visualizar el enlace «decodificado». Si prestamos la atención debida, tendremos pistas acerca de si el enlace es uno legítimo, o si podría tratarse de uno malicioso para inserción de malware o uno de los tantos ataques de Phishing.

Sin embargo, clientes de correo para ordenadores como Outlook o aquellos que son para el móvil, además de los navegadores web, no cuentan con esta especie de vista previa de los enlaces. Por esa razón, es muy importante tener cautela antes de hacer clic en cualquier enlace. Ya que la codificación de este último puede contar con el fin malicioso de enmascarar los potenciales ataques.

Explotación de vista previa de enlaces

También podemos considerar a esto como el acto de enmascarar enlaces. Esto cuenta con el fin de engañar al usuario para que acceda al sitio malicioso, pensando que se trata de uno legítimo. Repasemos de nuevo un enlace de ejemplo:

  • https://empresa.com:acercade@dominiomalicioso.com/nosotrosempresa.html

Lo que está destacado en negrita puede representar a cualquier apartado de la página de la empresa. Lo que está en cursiva corresponde a la página web maliciosa. La ingenuidad y la falta de atención de las personas es un par de factores que determinan el éxito de los ciberataques por esta vía. Los cibercriminales tardan unos minutos y sin apenas esfuerzo en crear estos dominios maliciosos para que los usuarios caigan en su trampa y les roben datos. Es fundamental que cuando veamos un enlace «extraño», prestar mucha atención.