«Phishing» y engaños por «e-mail»: por qué somos tan vulnerables

Podría ser un mal guion de comedia de enredos, pero es real: un estudio de hace cuatro años, publicado por Computers in Human Behavior, revela que el 48 por ciento de los usuarios entregarían su contraseña a cambio de un premio en apariencia insignificante, digamos, por un chocolate.

Cuatro años después, y a juzgar por el aumento que se ha visto durante la pandemia de los casos de ciberdelito y de phishing, seguimos tan expuestos como entonces a lo que en seguridad se denomina «ingeniería social», un área en la que los cibercriminales exitosos son expertos y sobre la que la mayoría del resto de los mortales permanecemos completamente ignorantes.

De hecho, durante el pico de ataques que se registró en Argentina en abril, se detectaron en todo el mundo 4.250 campañas distintas de phishing basadas en ingeniería social, ideadas para atraer a víctimas a visitar sitios web maliciosos, cliquear en enlaces fraudulentos o dar información personal bajo falsos pretextos supuestamente relacionados con la crisis sanitaria. Todo a partir de un correo electrónico.

Publicidad

La psicología aplicada al marketing suele servir para entender por qué somos tan vulnerables. Los seis principios de la persuasión que Robert Cialdini menciona en 1984, en un libro que luego fue best seller (Influencia: La psicología de la persuasión), y que pueden encontrarse explicados en cualquier blog o sitio sobre publicidad aplican en su totalidad como fundamentos de la ingeniería social. 

En apariencia, nadie puede escapar de los efectos que producen, según Cialdini, la reciprocidad, la escasez, la autoridad, la coherencia, la atracción y el consenso. Ese grupo, que se repite como un mantra en el marketing, ha probado ser casi infalible.

«Para empezar, en un entorno cloud de trabajo como el que llevamos, debemos asumir que todas somos falibles, ni siquiera las personas que nos dedicamos a esto estamos exentas de caer en un ataque de phishing”, reconoce Ángeles Romero, parte del equipo directivo de la agrupación Mujeres en Tecnología (MeT).

«La ingeniería social ataca nuestro cerebro y genera emociones para anular la capacidad de razonamiento. Ante esta situación, es una obligación pensar que todas somos vulnerables. Como medidas preventivas, tenemos una constante capacitación, tanto para nuestro equipo directivo como para las personas voluntarias de nuestra asociación. En nuestras manos están los datos de más de 500 mujeres, lo que nos demanda muchísima responsabilidad y medidas rigurosas de protección», explica.

Según la especialista, el crecimiento que la pandemia propició de las transacciones comerciales en internet, algo que ya venía en ascenso, pero que ahora se disparó a medida que más usuarios adoptan esta modalidad, hizo que los cibercriminales aprovecharan para llevar adelante sus estrategias, más allá del coronavirus.

Publicidad

Son cibercriminales, no hackers

La distinción es importante, porque MeT busca no sólo generar conciencia sobre nuevos enfoques en seguridad, como Zero Trust, sino también diferenciar la figura de hacker de la de «cibercriminal».

Toda la filosofía detrás del hacking ético, es decir, el que se aplica para evitar que datos sensibles sean captados por delincuentes, respalda esta visión: no hay hackers malos y hackers buenos, sino hackers y ciberdelincuentes.

Publicidad

«Hay una amplia variedad de negocios detrás del cibercrimen, que no sólo tiene que ver con el robo de datos o de cuentas bancarias. Por ejemplo, hoy cotizan en bolsa los influencers, todo se ha digitalizado y las personas usuarias hemos aceptado las reglas de un juego que desconocemos», subraya Romero.

«Esta metodología no es nueva, sólo cambió el medio, es decir, de utilizar el papel se pasó a usar medios digitales», apunta Adrián Judzik, gerente de Ciberseguridad de Telecom Argentina.

«Es difícil generar conciencia, porque el atacante se vale de aspectos de la condición humana, como la empatía, la ansiedad, la ambición y otros. Entonces, se arman las campañas para capturar estos sentimientos, evitar la posibilidad de que el destinatario razone e identifique las señales que indican si el e-mail o el mensaje son parte de una campaña de phishing o no». 

Desde Claro también acercan algunas de esas señales. «Pueden llegar por WhatsApp o por SMS aunque, por lo general, el contacto se establece a través de correos electrónicos que aparentan ser fiables. En este caso, el destinatario puede detectarlos al recibir archivos adjuntos o comprimidos ejecutables o enlaces falseados que apuntan a una dirección diferente a la que indica el texto; o bien notando que el texto cuenta con una mala redacción, como si estuviera hecha por traductores automáticos», apuntan.

Todos coinciden en que lo más importante es lo más complejo: generar un nivel de conciencia tal que permita inmunidad (para usar una palabra de moda) contra los seis benditos principios de la persuasión de Cialdini.

«A la concientización le podemos sumar las herramientas que permiten reducir, pero no impiden la entrada de e-mails maliciosos que son los antispam y su integración a otras herramientas que limitan el acceso a los sitios a los que estos apuntan, como pueden ser proxies, firewalls y UTM. De todos modos, hay que entender que ninguno represanta una solución mágica», advierte el ejecutivo de Telecom.

Edición Impresa

El texto original de este artículo fue publicado el 4/09/2020 en nuestra edición impresa.

Publicidad

Deja un comentario

A %d blogueros les gusta esto: