Recomendaciones de expertos para evitar ser víctimas de phishing, juice jacking, ransomware y otros engaños.
El 30 de noviembre se celebra el Día Mundial de la Ciberseguridad, que tiene como objetivo tomar conciencia sobre los riesgos que existen en el universo digital para tomar recaudos y previsiones.
Esta fecha, que se comenzó a celebrar en la década del 80, fue instituida por la Association for Computing Machinery (ACM), una entidad que nació en Estados Unidos, en 1947. Es considerada la primera agrupación científica que busca educar en informática y sus alcances. La ACM, que en la actualidad tiene presencia en más de 100 países, organiza conferencias y eventos en distintas partes del mundo, además de publicar revistas especializadas.
Puedes leer: Varios heridos en un ataque con arma blanca en La Haya
Hacia mediados de los años 80, las computadoras personales comenzaban a cobrar mayor presencia. Y es así como la informática pasaba de ser un ámbito exclusivamente confinado a la academia y la ciencia para comenzar a ocupar un espacio de relevancia en la vida diaria. Hoy, esa omnipresencia que llegó de la mano de dispositivos móviles, la nube y los dispositivos IoT, se siente más que nunca.
Junto con esa omnipresencia tecnológica llegaron nuevos desafíos en varios campos, entre ellos en el de la ciberseguridad. Así es que aprovechando esta fecha, Infobae consultó a varios especialistas en la materia para hablar sobre las amenazas que hay y cómo protegerse ante ellas para, sobre todas las cosas, no perder tiempo y datos, dos de los activos más valiosos de esta era.
“El juice jacking es un tipo de ataque sobre dispositivos móviles que consiste en utilizar la conexión USB de un cargador público para establecer una conexión de transferencia de datos que permita descargar información o instalar un malware con un fin determinado”, explicaron a Infobae desde Check Point.
La mejor manera de prevenir estos ataques es evitar utilizar los cargadores de sitios públicos y, a su vez, desactivar la transferencia automática de datos por USB tanto en Android como en iOS.
El doble factor de autenticación es una opción que se puede activar en casi todas las apps y plataformas más populares: Gmail, Twitter, Instagram, etc. Al utilizar esta opción, al usuario se le requerirá, para ingresar a su cuenta, no sólo que ingrese su contraseña sino que también indique un código de seguridad que recibirá por medio de una aplicación (Authy o Google Authenticator, por ejemplo; un SMS o bien una llave física de seguridad.
Para activar esta opción hay que ir al menú de ajustes de la plataforma y habilitar la opción.En caso de que se requiera recibir ese segundo código por medio de una app, entonces habrá que descargarla al móvil previamente y configurarla.
Si bien se puede elegir como segundo factor de autenticación un SMS. Esta alternativa es mejor que sólo tener una contraseña pero no es la más segura de todas. ¿Por qué? “Este SMS viaja como texto plano (sin encriptar) a través de la red de telefonía celular que utiliza el protocolo SS7 y es posible que sea interceptado por un tercero. Esto permite que ante ataques de ingeniería social, un atacante pueda manipular al usuario final para obtener sus datos de acceso y también el SMS del doble factor de autenticación”, explican desde Check Point.
Y recuerdan que la organización NIST (National Institute for Standards and Technology) de Estados Unidos, en el año 2017 emitió una actualización de la Digital Identity Guideline donde plantea que el uso de SMS no es un método seguro como doble factor de autenticación.
/arc-anglerfish-arc2-prod-infobae.s3.amazonaws.com/public/UXETLXZEPRCM7JL46W63JEOKCA.jpg)
Ataques de Phishing y como protegerse
Se denomina phishing o suplantación de identidad a una técnica de ingeniería social que permite obtener información confidencial del usuario. “La suplantación de identidad (phishing) puede presentarse de muchas formas, entre las que se incluyen la suplantación de identidad telefónica, el smishing, los correos electrónicos de suplantación de identidad (phishing) y los sitios web de suplantación de identidad”, explica Luis Corrons de Avast.
Y añade: “Las estafas de phishing suelen presentarse en forma de correo electrónico diseñado para que parezca que proviene de una organización legítima, lo que dificulta su reconocimiento e incluye un enlace o un archivo adjunto. Los enlaces en los correos electrónicos de phishing conducen a sitios web maliciosos, que son casi idénticos al sitio web que están imitando y piden al usuario que envíe información personal, como los datos de inicio de sesión. Los archivos adjuntos de los correos electrónicos de phishing descargan malware directamente o utilizan ingeniería social adicional, por ejemplo, para ajustar la configuración para descargar malware”.
Como primera medida hay que evitar hacer clic en los correos o descargar adjuntos que se reciban por mensaje o correos que prometen grandes ofertas o promociones. Usualmente estas supuestos beneficios son parte de un anzuelo que usan los cibercriminales para engañar al usuario.
Por eso, lo más recomendable es, si se quiere ingresar al supuesto sitio que envía esa promoción, ingresar directamente la URL del sitio que se busca en el navegador. “También es importante comprobar la dirección de correo electrónico del remitente, ya que los ciberdelincuentes suelen crear direcciones de correo electrónico en las que el nombre del remitente parece correcto, pero la dirección real es diferente”, recomienda el especialista.
Fuente: INFOBAE
