Hablemos de situaciones reales: ¡cuándo una llamada se convierte en una estafa!

Cuando escuchamos la palabra ciberseguridad lo más probable es que pensemos en hackers con abrigos negros sentados frente a un computador, en equipos tecnológicos parecidos a los de la NASA. Este pensamiento depende del ámbito en donde lo escuches, la empresa o en forma individual.

Para conocer un poco más sobre este término y lo que abarca, en este primer post vamos a abordar conceptos técnicos y explicar un caso real.

¿Qué es la seguridad de la información?

Busca proteger el uso no autorizado de la información, es decir el acceso indebido, la divulgación de información confidencial, la destrucción de datos y la interrupción al acceso de la información.

En otras palabras, su enfoque consiste en asegurar la confidencialidad, integridad, disponibilidad y autenticación de los datos, sin importar en dónde se encuentre o guarde la información (información digital, información en papel).

¿Qué es la ciberseguridad?

Para definir la ciberseguridad utilizaremos la definición de ISACA (Asociación de Auditoría y Control de Sistemas de Información). La ciberseguridad es la protección de activos de información, a través del tratamiento de amenazas que ponen en riesgo la información que es procesada, almacenada y transportada por los sistemas de información que se encuentran interconectados.

Las definiciones son muy similares, veamos sus diferencias: la seguridad de la información es la orquesta, el término principal del cual se derivan otras disciplinas, toma en consideración toda la información generada sin excluir su ubicación (física y digital). La ciberseguridad hace referencia a la protección de los activos de información que se encuentran guardados en los sistemas interconectados.

Luego de conocer los términos técnicos, vamos a explicar con una situación real que es la Seguridad de la Información.

Es la 01:00 p.m. y mientras Daniel se encontraba en su hora de almuerzo recibe una llamada, no acostumbra contestar mientras almuerza, la llamada era insistente y de un número desconocido, por los primeros dígitos de la llamada supo que el operador de telecomunicaciones de la llamada es el mismo que él utiliza.

No logró contestar la llamada, al día siguiente a la misma hora recibe nuevamente la misma llamada, esta vez sí logra contestar, le informan que le llaman de la empresa que le ofrece su línea telefónica y le indican que fue acreedor a un premio, lo invitan a visitar las redes sociales del proveedor y le explican detalladamente sobre la promoción.

Mientras Daniel atiende la llamada accede a la red social del proveedor y descubre para su sorpresa, que sí, existe una promoción como la indicada en la llamada, el agente telefónico continúa ofreciéndole las indicaciones para hacer efectivo su premio, le ofrece el nombre y número telefónico directo de la gerente de la sucursal más cercana a él y un código que debe proporcionar para hacer efectivo su premio, además le informa que le estará enviando a su correo electrónico una serie de documentos que necesita imprima, firme y los entregue en la sucursal, anexando su documento de identidad y otros datos personales.

Como Daniel ve la promoción en las redes sociales del proveedor y cree en los datos indicados por el agente, procede a coordinar día y hora para hacer entrega de los datos solicitados y recibir su premio.

Llega el día de recibir el premio, Daniel se acerca a la sucursal y una joven muy amable lo recibe en la entrada de la sucursal con una tablet en mano y un vestuario similar al de los colaboradores de la empresa, le solicita el código y los documentos y le entrega un cheque del premio.

A la mañana siguiente, se dirige muy emocionado a depositar el cheque al banco, la cajera llama a su supervisor y le informan a Daniel que necesitan conversar con él en la oficina de la gerente, la gerente del banco le notifica que el cheque es falso y que han estado recibiendo personas con el mismo cheque durante los últimos 2 meses, le recomiendan interponer una denuncia si proporcionó algún tipo de información.

Él procede a llamar a su empresa de telefonía celular y le informan que sí existe la campaña de premios, pero que él no ha sido acreedor a ningún premio, además que no solicitan la información indicada. La siguiente acción a realizar por Daniel es anteponer la denuncia, pues sus datos pueden ser utilizados de forma fraudulenta, causando diversas consecuencias.

Esta es una de las tantas técnicas que utilizan los ciberdelincuentes para obtener información que puedan utilizar para sus estafas.

En este caso se hizo uso de una llamada telefónica en el que por medio de la manipulación lograron que el afectado realizará la acción de entregar copias de documentos e información confidencial.

Este tipo de ataque cibernético se llama “Ingeniería Social”, esta técnica hace referencia en que es las personas son los sistemas que más fácilmente pueden ser vulnerados, gracias a las emociones. Un cibercriminal que utiliza la ingeniería social, crea historias que juegan con las emociones de los individuos.

Cómo vemos en este caso el delincuente logró obtener documentos físicos. No todos los ciberataques buscan obtener información digital, por esto es importante estar atentos y comprender el ámbito de la seguridad de la información que abarca la ciberseguridad.