Ingeniería social: el caballo de Troya de la ciberdelincuencia

8 consejos para protegerte de las comunicaciones fraudulentas.

21/06/2022

La ingeniería social se basa en técnicas de manipulación y engaño empleadas por los ciberdelincuentes para robar información confidencial de las personas.

A través de enlaces maliciosos incluidos en emails (phishing) y mensajes SMS (smishing) o mediante llamadas telefónicas (vishing), los ciberdelincuentes se hacen pasar por organismos oficiales, compañías y entidades financieras e informan de supuestas alertas de seguridad, anomalías en la cuenta bancaria, devolución de importes, facturas pendientes, etc., con el objetivo de conseguir información privada de las víctimas o infectar sus dispositivos con malware.

El factor humano se encuentra involucrado en la gran mayoría de brechas de seguridad producidas por ataques de ingeniería social. Estos ataques buscan ganarse la confianza de las personas no solo para que faciliten sus datos confidenciales, sino también para que permitan el acceso en remoto a sus equipos y/o descarguen aplicaciones o archivos maliciosos con apariencia de documentos y programas legítimos. Es decir, pretenden acceder como un caballo de Troya a los dispositivos de las víctimas. Es el caso, por ejemplo, de los ciberdelincuentes que se hacen pasar por falsos equipos de soporte técnico a través de una llamada telefónica, en la que informan de un presunto problema o infección en sus equipos, por lo que necesitan acceder en remoto a ellos para instalar una aplicación y solucionar así el problema. En ocasiones también han solicitado instalar otra aplicación en el dispositivo móvil que tiene por objetivo tomar el control del mismo y acceder a toda la información alojada en él, incluidos los SMS.

En las últimas campañas de correos electrónicos y SMS fraudulentos, los ciberdelincuentes han suplantado a organismos oficiales, como la DGT o la Agencia Tributaria, y a algunas entidades privadas con el propósito de que los usuarios descarguen y ejecuten los archivos infectados con malware. Algunos pretextos utilizados han sido supuestas multas no pagadas o documentación pendiente de presentar a Hacienda. 

Consejos para protegerte de la ingeniería social:

- No proporciones información personal o bancaria en páginas web a las que has accedido desde un enlace incluido en un email o SMS que te resulten sospechosos. Tampoco descargues archivos adjuntos en este tipo de comunicaciones.

- Revisa detenidamente el remitente de los correos electrónicos y no realices ninguna acción si verificas que no es el oficial. Por regla general, ninguna compañía u organismo público te va a solicitar información personal o sensible a través de estos canales.

- Siempre es preferible acceder a una página web tecleando la dirección en el navegador, no a través de enlaces.

- Desconfía de todos aquellos emails y mensajes alarmantes que tengan tono de urgencia, contengan faltas de ortografía o erratas y de los que no se dirigen a ti de forma personalizada.

- Ante una llamada que te haga dudar de su legitimidad, no realices ninguna acción y contacta tú directamente con la empresa desde la que supuestamente te han llamado (buscando el número de teléfono en Internet o en su página web oficial). Bloquea los números de teléfono fraudulentos para que no puedan volver a llamarte.

- BBVA nunca te va a solicitar tu información confidencial, como claves de acceso a la banca online o códigos de un solo uso (OTP), a través de mensajes SMS, correos electrónicos o llamadas iniciadas por el banco. Recuerda que los mensajes SMS que BBVA envía no contienen enlaces; si recibes alguno que incluya un link, aunque aparezca en el hilo de BBVA, es falso. Asimismo, si recibes una llamada en la que te solicitan esta información, incluso aunque visualices el número oficial del banco en tu pantalla, no la proporciones. Los ciberdelincuentes están empleando técnicas para conseguir manipularlo.

- Refuerza la seguridad de tus dispositivos y mantén actualizados el sistema operativo, el navegador y las aplicaciones. Además, instala un antivirus y realiza análisis periódicos.

- Descarga las aplicaciones desde los mercados oficiales, como Google Play o App Store, y observa si la aplicación ha sido descargada por un elevado número de usuarios, tiene una valoración alta y opiniones positivas. Estos indicadores ayudan a reconocer la autenticidad de la app.

Contacta siempre con BBVA en el 900 102 801 en caso de ser víctima de un fraude o si sufres cualquier otro incidente de seguridad relacionado con tus cuentas o tarjetas.