Conceptos de Ciberseguridad

En un entorno de constante transformación digital, como el actual, y con el auge de la Inteligencia Artificial (IA), impactando múltiples sectores, se hace imprescindible aprender más sobre los principales conceptos de ciberseguridad. Y es que, aunque los avances digitales suponen innumerables mejoras en procesos, también suponen nuevos riesgos que deberíamos contemplar.

¿Qué debo saber sobre ciberseguridad ?

El mejor mecanismo para esquivar el cibercrimen o ciberdelincuencia es la información y la concientización. Para ello hemos preparado este pequeño glosario con ejemplos útiles para evitar ser víctima de estas prácticas ilícitas.

Ingeniería social

Por ingeniería social se entiende el conjunto de tácticas que se utilizan para obtener datos confidenciales. Estas prácticas se centran sobre todo en manipular a individuos mediante técnicas de seducción, convicción o influencia, de tal manera que revelen información privada y/o empresarial o provean acceso a sistemas de información.

La ingeniería social puede adoptar muchas formas y técnicas. Sin embargo, algunas de las prácticas más extendidas son el phishing y técnicas de suplantación de identidad, por ejemplo, mediante la clonación de voz con IA, entre otros.

Phishing

El phishing es el método más utilizado actualmente por los ciberdelincuentes con el objetivo de estafar y obtener información sensible o activos de forma ilícita. La información comúnmente susceptible a esta práctica son nombres de usuario, contraseñas, números de tarjetas de crédito e información bancaria. El formato más habitual para este tipo de comunicaciones es el correo electrónico, a través del cual se configuran mensajes o enlaces a páginas web que simulan ser auténticos y en los que se pide al usuario que comparta datos personales. Para aumentar las probabilidades de éxito, el estafador puede hacerse pasar por una persona del círculo cercano de la víctima.

Vishing

El vishing es otro tipo de estafa informática en la que, mediante el uso de la ingeniería social y software de modificación de voz, un cibercriminal se puede hacer pasar por una fuente fiable (una persona cercana, una institución reconocida o un empleado de banco con el que tenga relación), alegando supuestas razones de seguridad. A través de un número telefónico fraudulento (o en ocasiones un correo electrónico con mensaje de voz) se suplanta la identidad de una persona o entidad. El vishing persigue el mismo objetivo que el phishing, su diferencia radica en el medio utilizado para identificar a las potenciales víctimas.

Un ejemplo de vishing concreto es la suplantación de la identidad empresarial como es el caso de delincuentes que se hacen pasar por una entidad financiera ofreciendo préstamos o inversiones a condiciones excepcionales y solicitando el abono de cierta cantidad de dinero.

Smishing

Según datos de la Interpol, el smishing es otra de las técnicas de ingeniería social que más usan los hackers para manipular a los usuarios. Se trata de una adaptación del phishing, esta vez a través de SMS. Esta práctica ha incrementado en los últimos años, mayormente debido al auge de aplicaciones de mensajería como WhatsApp, Telegram o iMessage que complementan al clásico mensaje de texto.

Mensajes sobre el extravío de un envío postal, un error en la confirmación de una transferencia bancaria o el bloqueo de una cuenta bancaria por motivos de seguridad son algunos ejemplos comunes de smishing. Estos SMS simulan haber sido enviados por empresas de paquetería, bancos, compañías de telecomunicaciones o entidades estatales. Y no solo se engaña a las personas para obtener información confidencial, sino que también logran instalar software malicioso en sus dispositivos móviles, al incluir en muchos casos enlaces a dominios maliciosos.

Malware

Malware o "software malicioso" hace referencia a cualquier tipo de software diseñado con el objetivo de dañar o infiltrarse en un sistema informático y en los datos almacenados en este. El acceso a los dispositivos de las víctimas se logra a través de diferentes métodos de ingeniería social como las descargas de sitios webs no oficiales y los correos electrónicos manipulados por phishing. Las probabilidades de éxito son mayores en software desactualizados o desprovistos de sistemas de antivirus.

En su totalidad abarcan un abanico muy amplio de programas perjudiciales para los sistemas y la información personal como virus, gusanos, troyanos, backdoors y spyware, entre otros. El más extendido es el troyano que parece ser un programa o un archivo pero que, en realidad, está formado por un código que altera el sistema informático de la víctima para llevar a cabo actividades maliciosas como el robo de contraseñas o datos financieros o el control remoto del sistema, llegando a perjudicar incluso a los dispositivos que puedan estar conectados como un disco duro o una impresora.

Consejos generales para protegernos ante la ciberdelincuencia

Aunque pueda cambiar la vía de comunicación la base y el objetivo de todas estas estafas es la misma: el robo de nuestros datos personales para realizar un uso ilícito de los mismos. Por lo tanto, siguiendo esta serie de pautas evitaremos ser víctima de ellas:

• Colgar y bloquear el número de teléfono ante la primera sospecha de estar siendo víctima de estafa, sin importar la supuesta gravedad o urgencia que se nos transmita.
• Verificar la identidad de la persona que nos contacta y nos solicita información, ya sea a través del teléfono de atención al cliente de la institución o compañía a la que dice pertenecer, o incluso acudiendo a una sede física de la misma si existiese.
• Desconfiar ante cualquier errata en el mensaje ya que normalmente se configuran con un traductor o generador de texto automático.
• No hacer clic en enlaces recibidos por mensajería de texto.
• Instalar una aplicación de identificación y bloqueo de llamadas y SMS sospechosos, como puede ser TrueCaller, Whoscall o CallApp.
• Contar con sistemas antivirus y herramientas antispyware como Malwarebytes, Windows Defender o Avast Free Antivirus.
• Mantener los dispositivos actualizados.
• Establecer la autenticación de dos factores para proteger nuestro correo electrónico o redes sociales.

La información suministrada en este documento está basada en criterios objetivos e información fiable, pero no constituye oferta, ni solicitud para comprar o vender el producto financiero analizado, quedando la opinión expresada en la fecha de emisión del análisis, sujeta a cambios experimentados por los mercados. Deutsche Bank no se responsabiliza de la toma de decisiones que se fundamenten en esta información. Deutsche Bank Sociedad Anónima Española Unipersonal. All rights reserved. Deutsche Bank, S.A.E.U.-RM Madrid,T.28100, L. 0,F.1, S.8, hoja M506294, inscripción 2, -CIF . A-0800061