Al igual que los profesionales de otros sectores, los corredores de seguros no son ajenos a los ciberataques de ingeniería social. Desde el blog de Senassur les ayudamos a conocer las principales amenazas, así como a prevenirlas.
Con el objetivo de llegar al mayor número de usuarios posible, el Instituto Nacional de Ciberseguridad (Incibe) y la Oficina de Seguridad del Internauta (OSI) han publicado una guía de ciberataques. Se trata de un documento muy útil para organizaciones como las corredurías de seguros, cuyos profesionales pueden llegar a ser víctimas de las distintas campañas orquestadas por los ciberdelincuentes. Entre ellas, las de la ingeniería social.
¿Qué es y en qué consiste la ingeniería social?
Como ya se ha comentado en el blog para corredores de seguros de Senassur, los ciberdelincuentes priorizan el factor humano en sus campañas maliciosas. Saben que las personas son el eslabón más débil de la cadena de seguridad. Y se aprovechan de ello, por ejemplo, a través de los ciberataques de ingeniería social.
Sirviéndose de un conjunto de técnicas, estos últimos intentan manipular psicológicamente a los internautas. El objetivo es lograr que las víctimas hagan clic en un enlace, descarguen un archivo que infecte sus equipos o revelen información confidencial como datos personales, de acceso o bancarios.
Suplantación con phishing, vishing y smishing
Con estos tres tipos de ataque de ingeniería social, los ciberdelincuentes suplantan a entidades de confianza para robar información de los usuarios o descargar malware que facilite infectar o tomar el control de sus dispositivos. Y aunque son muy parecidos, cada uno de los ciberataques tiene sus peculiaridades:
- El phishing, del que ya nos hemos ocupado en el blog de Senassur, se propaga mediante el correo electrónico, las redes sociales y las aplicaciones de mensajería.
- Por su parte, las llamadas telefónicas son el canal utilizado para llevar a cabo las campañas de vishing.
- Y el smishing se difunde con el envío de mensajes SMS.
De cara a protegernos de estos ciberataques, los expertos recomiendan poner en práctica los siguientes consejos:
- Asegurarnos de que el remitente es de confianza prestando atención a su dirección de correo electrónico y teléfono de contacto.
- Ser precavido con los mensajes que contienen peticiones urgentes, promociones u ofertas muy atractivas. Ante cualquier duda, lo mejor es eliminarlos.
- Detectar errores gramaticales en el mensaje.
- Comprobar que un enlace coincide con la dirección a la que apunta escribiendo la URL en el navegador.
- Analizar los archivos adjuntos con el antivirus antes de descargarlos.
- Y en los casos de vishing, no ceder ante las presiones de un ciberdelincuente. En situaciones así, es aconsejable ponerse en contacto con las Fuerzas y Cuerpos de Seguridad.
Fraudes online: para todos los gustos
Hablando de phishing… Es uno de los muchos métodos empleados para cometer fraudes y estafas online cuyo fin es obtener información personal o un beneficio económico. Desde el citado phishing hasta las tiendas fraudulentas, los alquileres falsos o los engaños en la compraventa de productos, existen numerosos fraudes online.
Con el objetivo de identificarlos, Incibe y OSI han publicado una guía que ayuda a familiarizarse con ellos. Además, incluye buenas prácticas que facilitan estar prevenidos para no ser víctimas de los ciberdelincuentes.
Baiting: ¡cuidado con los USB y las ofertas!
Continuando con los ataques de ingeniería social, ¿qué haríamos si encontrásemos una memoria USB en la calle? Probablemente, nos la llevaríamos a casa o la oficina. ¡Sobre todo si el pendrive está nuevo e indica que tiene una gran capacidad! Pero, cuidado: los ciberdelincuentes podrían infectar nuestros equipos con esa memoria USB para robar datos o llegar a otros dispositivos.
Asimismo, para ejecutar el baiting, también conocido como gancho o cebo, se usan métodos como anuncios y webs que promocionan concursos o premios que nos incitan a compartir datos o descargar software malicioso. Para evitarlo, se aconseja:
- No conectar dispositivos de almacenamiento externo o con conexión USB a nuestros equipos.
- Mantener estos últimos actualizados y con herramientas de seguridad.
- Desconfiar de ofertas o promesas muy atractivas que provengan de fuentes no fiables.
Spam: ¿información comercial o ciberataque?
Ya que nos hemos referido a las ofertas, muchas de ellas pueden llegar a través del correo basura, no deseado o no solicitado. Es lo que se conoce como spam. En la mayoría de los casos, los mensajes tienen una finalidad comercial. Pero en otros esconden un ataque de phishing o una infección mediante malware. Para curarnos en salud:
- A ser posible, se recomienda utilizar una cuenta de correo electrónico alternativa al registrarse en ofertas o promociones.
- Activar el filtro antispam en la configuración de la cuenta de email.
- Ignorar y eliminar los mensajes publicitarios que no sean de confianza en las redes sociales.
Curiosos informáticos: cuanto más lejos, mejor
Si bien puede parecer un método inusual, otro ataque de ingeniería social que conviene conocer es el denominado shoulder surfing. Hablamos de curiosos que se encuentran cerca de nosotros y nos observan por encima del hombro mientras manejamos nuestro dispositivo o intentamos sacar dinero del cajero automático. Sobre cómo protegerse, es recomendable:
- Evitar que terceros vean nuestras actividades, sobre todo cuando vayamos a compartir información personal o acceder a nuestras cuentas.
- Para lograr esto último, una buena idea es adquirir un filtro de pantalla antiespía. Este tipo de láminas impiden que otras personas puedan ver el contenido de un dispositivo desde varios ángulos.
- Igualmente, se deben utilizar contraseñas seguras o gestores de contraseñas y autenticación de dos o más factores.
¿Los ciberdelincuentes buscan en la basura?
Como hemos visto, con la ciberdelincuencia no podemos relajarnos… Buena muestra de ello es la técnica conocida como dumpster diving o buscando en la basura. Llegados a este punto, algún corredor de seguros puede preguntarse: realmente, ¿los documentos que ya no utilizo les pueden interesar a los ciberdelincuentes?
Y la respuesta es afirmativa. Tanto en soporte físico como digital, los interesados sacarán provecho para obtener contactos, anotaciones con credenciales, números de tarjetas bancarias… Por ello, es aconsejable:
- Eliminar la información que no nos sirva de forma segura (recomendamos la lectura del artículo Autónomos y pymes: ¿una oficina sin papel?).
En definitiva, los ciberdelincuentes han puesto el foco en las personas que forman parte de las organizaciones, independientemente del cargo o puesto que desempeñen. Y los corredores de seguros no son una excepción.
Para prevenir los ciberataques de ingeniería social, la formación y la concienciación son esenciales. Conocer las amenazas y cómo protegerse de ellas es una muy buena medida de ciberseguridad. Por ello, desde el blog de Senassur confiamos en que el presente artículo haya sido de utilidad para los profesionales de la mediación.