1 66 Table of Contents 68 100

Seguritecnia 476

SEGURITECNIA Junio 2020 67 Opinión por correo, tratando que el engañado sea el propio estafador, haciéndoles perder el tiempo o cometer acciones estúpidas por puro entretenimiento. De estas historias, personalmente me ha gustado mucho la del que se hacía pasar por un personaje del Señor de los Anillos respondiendo a una carta nige- riana, con frases como que no podía lla- mar por teléfono “porque estamos de viaje y en Moria hay mala cobertura”, sin que el supuesto príncipe se diera cuenta de nada. Timadores modernos Espero que estas líneas le ayuden a no engrosar la lista de víctimas de los tima- dores modernos (alias “ingenieros so- ciales”). Recuerde siempre que ese mó- vil que lleva en el bolsillo o ese por- tátil con el que lee el correo todos los días son la puerta de entrada para −li- teralmente− millones de personas. Y tenga presente lo que nos decían los padres cuando éramos pequeños: “no hables con extraños”. Pues bien, si to- mamos como base de pensamiento que “toda acción tecnológica que ha- gamos la hacemos con extraños, aun- que nos creamos que no lo son”, espe- cialmente si hay dinero de por medio, no andaremos muy despistados. Pre- gúntese siempre: ¿cómo sé yo que este es quien dice ser? Y piense dos veces (o tres, o cuatro…) antes de dar un clic dentro de un correo. Finalmente, antes de despedirme, si alguno de los que cayó por tres ve- ces consecutivas en el timo de la carta nigeriana lee esto, por favor que me llame. No por nada, es que creo recor- dar que tengo unas estampitas usadas por casa que igual le interesa comprar a un buen precio… help-desk y dice “dime por favor la di- rección del portal de acceso de em- pleados; además, por cierto, se me han olvidado mi login y password ... ¿Tú no sabrás por casualidad en qué sistema está la base de datos de nó- minas?”, es inevitable que saquen la conclusión de que intenta colarse. Una cosa es que la gente sea buena y otra que sea tonta. Por el contrario, ¿qué daño puede hacer que le demos una dirección web a alguien que no pide nada más (que, inferimos, no necesita nada más porque es un empleado que ya po- see el resto)? Uno más uno son dos aunque se obtenga la información de distintos sitios o en horarios diferen- tes. Nuevamente, maneje la informa- ción siempre con el principio de “ne- cesidad de saber”, incluso si parecen preguntas inocentes e inofensivas. Aquí es donde entran en juego co- sas tales como unas políticas correc- tamente escritas y conocidas por to- dos en una empresa. El tener algo así permite enseñar a los empleados que, ocurra la situación que ocurra, ellos deben limitarse a hacer lo que establece el procedimiento conocido, por presionados que estén. Esto hace que sea más fácil para alguien ne- garse a hacer algo con la simple frase “eso es lo que marca la política de se- guridad. Lo siento”. Lo curioso es que estos principios aplican también, muchas veces, a los propios timadores. Así, como hay gente para todo, resulta que también hay afi- cionados a lo que se llama “ scam-bai- ting ”, es decir, el “deporte” de seguir la corriente a algún intento de engaño en las próximas horas y, de paso, aho- rrarte el papeleo burocrático. Por ejemplo, últimamente han sido frecuentes las llamadas por teléfono de un supuesto equipo de soporte técnico de Microsoft alertando de un urgente (inexistente, claro) pro- blema de seguridad o de otra índole en nuestro ordenador, y que se ofre- cen gratuitamente a solucionarlo. Para ello suelen pedir contraseñas de acceso o enviar un malware para to- mar el control del ordenador y extor- sionar al usuario o para robar sus cre- denciales bancarias. De forma alternativa, también se puede hacer en positivo: “estamos montando el nuevo acceso de la em- presa a Internet, que por cierto es una red 10 veces más rápida, y vamos a empezar con una serie de clientes selectos en piloto. Para que puedas usarlo, tengo que migrar la configu- ración y necesito tu contraseña en el servidor”. ¿Quién se resiste a ser tra- tado como un cliente VIP? Principio de la urgencia: el timador necesita una respuesta lo antes posi- ble. Pasa lo mismo con las ventas te- lefónicas: se busca la acción inme- diata, la compra por impulso. Por eso, desconfíe de aquellas instrucciones que hay que hacer fuera de lo que parece normal, “porque estamos en una urgencia”. Un mensaje de un jefe cabreado, un correo urgente de Ha- cienda reclamando un pago si no se hace algo, una oferta que caduca en unas horas… Todo ello son indicado- res a tener en cuenta. Para comprobar si realmente es tan urgente, hable en persona, use el te- léfono u otros métodos de comuni- cación alternativos. Yo personalmente prefiero perder el trabajo por llegar tarde a una operación por pedir con- firmación que perderlo por enviar pre- cipitadamente una transferencia de 100.000 euros a una cuenta en China. Principio de los pasos sucesivos: a pesar de la urgencia, si un timo es lo suficientemente elaborado, no irá de- masiado deprisa: si alguien llama al Es mucho más sencillo picar en un ‘phishing’ cuando el mensaje viene de un amigo o compañero de trabajo. Implícitamente estamos bajando nuestras defensas porque confiamos en él

RkJQdWJsaXNoZXIy ODM4MTc1