CONOCIMIENTO Y CIBERHIGIENE
Siguiendo en mi empeño de mejorar la
seguridad en el uso de los dispositivos digitales de mi alumnado, mis
compañeros y los míos propios me sumerjo de nuevo en un nuevo NOOC (Nano Curso
Abierto, Masivo y En Línea) denominado “Estafas y fraudes en la red”. Porque el
sentido común no siempre es suficiente para evitar caer en las trampas de los
ciberdelincuentes, este nuevo itinerario formativo del INTEF (Instituto Nacional de Tecnologías Educativas y de Formación del Profesorado) nos ofrece
pautas y consejos para prevenir posibles riesgos asociados a las nuevas
tecnologías e Internet.
Los contenidos abordados pueden
dividirse en tres bloques:
1. Las infecciones por malware
Como ya hemos visto en el curso
“Tipos de malware, riesgos y protección específica”, un malware (malicious software)
se define como cualquier “programa informático o virus específicamente diseñado
para perturbar o dañar un sistema”. En mi baraja de los programas malignos hice
una clasificación de los tipos más habituales de malware (bombas lógicas, troyanos, virus, gusanos, botnet, spyware, adware y ransomware) en la que proponía algunas
medidas de defensa ante sus posibles ataques. A la anterior lista debo añadir
ahora el rogueware (también conocido como scareware o FakeAV), definido por Kox
(2013) como “un tipo de software de seguridad fraudulento que intenta infectar
las computadoras proporcionando alertas de seguridad falsas”. En otras
palabras, el rogueware se disfraza de
herramienta anti-malware legítima,
pero en realidad es capaz de realizar instalaciones encubiertas, inundar con la
aparición de numerosas ventanas emergentes (pop-ups),
inhabilitar la ejecución de un antivirus verdadero o incluso secuestrar nuestro
navegador web. Según Corrons (2010), los criminales informáticos se aprovechan
del temor creciente de los usuarios a los ciberataques, lo que hace que este
tipo de malware haya alcanzado proporciones asombrosas. Descargar los programas
de seguridad únicamente desde la web del fabricante o desde sitios realmente
confiables es la medida de protección anti-rogueware
específica más importante.
2. El scam
y la Ingeniería social
El Diccionario de Oxford define
el scam
como “un plan ilegal para ganar dinero, especialmente uno que involucra engañar
a la gente”. En términos de
ciberdelincuencia, la Oficina de Seguridad del Internauta nos dice que el scam es “cualquier intento de estafa o
fraude que se materializa a través de medios telemáticos: correo electrónico,
red social, mensajería instantánea, página web, etc.” El scammer o timador usa la ingeniería social para influenciar
y persuadir a su víctima con la finalidad de obtener un beneficio, generalmente
económico. Investigando más sobre la ingeniería social he encontrado el
artículo de Palomá Montaña (2015) en el que se describen los principios básicos
de la ingeniería social que utilizaba el reconocido hacker Kevin Mitnick:
A éstos podemos sumarles los
principios que nos indica el INTEF y que son comunes al marketing:
- Reciprocidad: tendencia a corresponder a quien nos dé algo.
- Urgencia: las tomas de decisiones apremiantes y que requieran rapidez suelen tomarse con poco estudio de las opciones.
- Consistencia: una vez tomada la decisión nos cuesta cambiarla.
El informe técnico del año 2015 de
Intel Security (ahora McAfee, compañía de software especializada en seguridad
informática) nos indica que los ataques de ingeniería social se pueden dividir
en dos categorías:
- Hunting (cazar): se busca la obtención de información específica y relevante de manera rápida estableciendo un único contacto directo entre víctima y criminal. Este modus operandi implica una interacción mínima con la que se pueda conseguir, generalmente, un número de cuenta o una clave de acceso. Una vez obtenido el dato requerido, el atacante finaliza la comunicación.
- Farming (cosechar): al contrario que el hunting, en este caso se pretender establecer una relación entre el perjudicado y el estafador a largo plazo, manteniendo el engaño durante cierto tiempo para exprimir al máximo a la víctima. El chantaje y el soborno suelen ser tácticas habituales en este tipo de delito.
3. Fraudes
telemáticos
La última
parte del curso se centra en los tipos de scam y cómo reconocerlos.
Phishing: como bien
nos dicen, el término phishing proviene de la palabra inglesa fishing
(pescar), pues el objetivo de los denominados phishers es el que los
internautas “muerdan el anzuelo” y les cedan información sensible tras el
engaño. A esto podemos añadir que el cambio de la letra “f” original por el
dígrafo “ph” se debe a que los primeros hackers eran conocidos como phreaks
(argot con el que nos referimos a las personas que estudian y exploran los
sistemas de telecomunicaciones). El patrón de conducta más habitual en los
ataques por phishing es el envío masivo de correos electrónicos de apariencia
legítima que incitan al receptor a visitar una web fraudulenta en la que serán
motivados a revelar su información personal o financiera (Jagatic,
Johnson, Jakobsson y Menczer, 2007). Estos emails falsos parecen provenir de
empresas o entidades reconocidas, bancos, instituciones, redes sociales, etc.,
pues imitan su apariencia. ¿Qué debemos hacer para no morder el anzuelo? Sin
duda alguna, todos somos susceptibles de ser manipulados, pero actuar con
cautela y desconfiar de cualquier mensaje que nos requiera datos confidenciales
es la mejor opción.
Estafas de la ilusión: en este grupo englobo
aquellos timos que se basan en crear falsas expectativas en la víctima (una
herencia, un puesto de trabajo, un premio de algún sorteo, etc.) con la intención de que se realice un pago
previo antes de su cumplimiento. Una de las más famosas es la Carta Nigeriana (y sus diferentes
variedades), en la que un remitente desconocido se hace pasar por una autoridad
gubernamental, empresa o banco africano que requiere depositar una gran
cantidad de dinero en una cuenta extranjera y que, a cambio, le ofrece a la
víctima un porcentaje del mismo. También conviene resaltar que aquellos puestos
de “trabajo fácil” en los que tu función sea la de actuar de intermediario en
transferencias bancarias a cambio de una comisión te convierten en un mulero bancario, pasando a ser cómplice
del infractor. Además, dentro de las
estafas de la ilusión podríamos encuadrar las estafas
románticas, también llamadas romantic
scam, que son un ejemplo
manifiesto de ataque por ingeniería social del tipo farming. El criminal se crea una identidad falsa en sitios de
citas online y redes sociales para establecer una relación sentimental una
persona vulnerable. Una vez que se han ganado su confianza, el ciberdelincuente
le solicita a su “pareja” una ayuda económica que nunca devuelve. El estudio llevado a cabo por Whitty y
Buchanan (2012) en el Reino Unido reveló que este tipo de fraude está creciendo
y que muchas de las víctimas no denuncian por vergüenza, lo que hace aún más
necesaria la información y formación de la población.
Bulos: a veces denominados hoax
o fake news, los bulos son cadenas
formadas por envíos y reenvíos de noticias falsas cuya finalidad es crear una
opinión generalizada particular y/o desacreditar a cierta persona o entidad.
Las redes sociales han revolucionado la forma en que se difunde la información,
pues permiten que los usuarios compartan contenido libremente y sin previa
comprobación de las fuentes. Aunque a simple vista no parezca una estafa
importante, las fake news pueden
generar un estado de alarmismo en la sociedad, hacer perder la confianza en los
medios de comunicación o incluso afectar a los resultados de unas elecciones
presidenciales, tal y como apuntan Allcott y Gentzkow (2017) o
Fernández-García, (2017). Comparto el planteamiento al que ha llegado Gómez
(2018) tras la conferencia anual de la Asociación de Medios de Información
(AMI) y que concluye que “el periodismo de calidad es el mejor antídoto contra
la ola de desinformación que recorre el mundo”. Sin embargo, los lectores demos
asumir nuestra culpa y aceptar nuestro protagonismo en el analfabetismo
mediático que sufrimos. Comprobar la veracidad de lo que compartimos en
nuestras plataformas digitales es vital para empezar a luchar contra la viralización de las posverdades, cuya intención es la manipulación de la ciudadanía.
La actividad final con la que superaré el curso consiste en diseñar un taller o seminario sobre los riesgos de la red y la seguridad digital. Aquí va el resultado:
La actividad final con la que superaré el curso consiste en diseñar un taller o seminario sobre los riesgos de la red y la seguridad digital. Aquí va el resultado:
En definitiva, tanto este NOOC
como los anteriores en los que el tema principal tratado ha sido la seguridad
digital me han permitido adquirir ciertos hábitos de ciberhigiene con los que
puedo proteger a mi comunidad educativa de los riesgos del ciberespacio.
Referencias
Allcott, H., y Gentzkow, M. (2017). Social media and fake news in the 2016
election. Journal of Economic Perspectives, 31(2), 211-36
Corrons,
L. (2010). The business of rogueware. Web Application Security, 72,
7.
Fernández-García, N. (2017). Fake news: una
oportunidad para la alfabetización mediática. Nueva Sociedad, (269).
Gómez, R. G., (2018). Artículo del periódico El País (Visitado el 09/12/2018)
“Hacking the human
operating system: The role of social engineering within cyber security”,
Informe técnico, Intel Security, 2015.
Jagatic,
T. N., Johnson, N. A., Jakobsson, M., y Menczer, F. (2007). Social phishing. Communications
of the ACM, 50(10), 94-100.
Kox, H.
L. (2013). Cybersecurity in the perspective of Internet traffic growth.
Palomá
Montaña, I. C., (2015). Contrarrestando la ingeniería
social: el reto de combatir las vulnerabilidades de su organización
(Bachelor's thesis, Universidad Piloto de Colombia).
Whitty, M. T., y Buchanan, T. (2012). The online romance scam: A serious
cybercrime. CyberPsychology, Behavior, and Social Networking, 15(3),
181-183.
No hay comentarios:
Publicar un comentario