La Ingeniería Social es una de las técnicas que tienen mayor efectividad para robar datos, hacerse con credenciales de usuario y estafar a los usuarios. La Ingeniería Social se vale meramente de la ingenuidad e incluso, ignorancia del usuario, el cual pone en riesgo sus propios datos. Esto también se aplica al ámbito corporativo. Millones de dólares en pérdidas se generan, por ejemplo, a causa de proporcionar datos sensibles a un falso operador de atención al cliente de un banco. En este artículo, os explicaremos algunas técnicas que no son tan conocidas de Ingeniería Social, sin embargo, es altamente probable que te hayas topado con una o más de ellas.
El símbolo del @
No hay una denominación en concreto, pero sí que puede resultar engañoso. Incluso para los profesionales de Seguridad Informática. Puede ser que en algún momento hayas recibido un mensaje de correo electrónico de un destinatario que no conoces y con contenido extraño. Más extraño aún resulta que tenga indicaciones para acceder a un enlace con este formato:
- https://empresa.com@dominiomalicioso.com
Lo que resaltamos en negrita sería el símbolo del @ seguido del host a donde quiere que el usuario se dirija después de hacer clic en el enlace. En este caso, se trataría del host malicioso. Lo que está antes del @, sería el sitio web legítimo de la compañía. ¿Te ha pasado algo así? En cualquier caso, presta mucha atención a cualquier enlace al cual quieras acceder.
Codificación Maliciosa
Fijémonos en la siguiente URL:
- https://empresa.com@%A0%C7%21%B2%B5%64%A0%D1%C0%B8%.
Puede ser que nos encontremos con un enlace codificado o acortado. Generalmente, se utilizan estos procesos de codificación cuando compartimos enlaces en otros portales o con otras personas. Cuando vemos algo así y queremos saber de qué trata dicha URL, simplemente posamos el cursor encima, de esta forma, logramos visualizar el enlace «decodificado». Si prestamos la atención debida, tendremos pistas acerca de si el enlace es uno legítimo, o si podría tratarse de uno malicioso para inserción de malware o uno de los tantos ataques de Phishing.
Sin embargo, clientes de correo para ordenadores como Outlook o aquellos que son para el móvil, además de los navegadores web, no cuentan con esta especie de vista previa de los enlaces. Por esa razón, es muy importante tener cautela antes de hacer clic en cualquier enlace. Ya que la codificación de este último puede contar con el fin malicioso de enmascarar los potenciales ataques.