Evite ser víctima de ataques de Ingeniería social

Conoce sobre el Phishing

El Phishing es una combinación de técnicas de engaño y manipulación para obtener datos confidenciales como contraseñas, información bancaria, etc. Su objetivo es lucrar a través del robo de dinero de cuentas bancarias, tarjetas de crédito chantajes, entre otros comportamientos delictivos.

Los ataques de Phishing se llevan a cabo principalmente mediante correos electrónicos falsos que imitan a entidades confiables, como bancos o empresas comerciales. Estos correos electrónicos contienen enlaces que conducen a sitios web falsos donde se solicita información personal o confidencial. En la siguiente imagen se describe la información que los ciberdelincuentes buscan obtener y los medios de comunicación que utilizan para propagar sus ataques

La Universidad Nacional de Loja a través de la Dirección de Tecnologías e Información (DTI), desarrolla y aplica simulaciones de ciberataques bajo la modalidad de Ingeniería Social “Phishing”, con el fin de concientizar y resguardar la confidencialidad, integridad y disponibilidad de la información de la comunidad universitaria.

¿Qué es la ingeniería social?

La ingeniería social es una técnica utilizada por los ciberdelincuentes para manipular a las personas con el objetivo de obtener información confidencial como contraseñas, números de tarjeta de crédito, entre otros datos personales, valiéndose del eslabón más débil de una organización (Usuario final, empleados y trabajadores), razón por la cual la Ingeniería Social es definida como "la manipulación de la psicología humana para obtener acceso no autorizado a información, sistemas o recursos".

Los ataques de Ingeniería Social se realizan a través de correo electrónico, mensajes de texto, redes sociales, entre otros medios, por ende es importante que todos estemos alerta ante los ataques de phishing y que tomemos medidas de seguridad para proteger la información personal o de la institución en la que se está laborando, en la siguiente imagen se grafica el modus operandi de este tipo de ataque informático (Phishing).

Técnicas mas comunes de un ataque de ingeniería social

Phishing

Consiste en engañar al usuario mediante la suplantación de identidad, correos electrónicos y sitios web ficticios con el fin de extraer información confidencial como por ejemplo contraseñas de cuentas bancarias.

Vishing

Consiste en estafar al usuario a través de llamadas telefónicas o mensajes de voz, logrando extraer información sensible y confidencial como números de tarjetas de crédito.

Baiting

Consiste en manipular al usuarios para que acceda a conectar un dispositivo de almacenamiento como memorias USB infectadas y preparadas para recopilar todo tipo de datos una vez se conecte a un equipo

Redes Sociales

Consiste en engañar al usuario creando perfiles falsos en las redes sociales..

¿CÓMO PREVENIR ATAQUES BAJO LA MODALIDAD DE INGENIERÍA SOCIAL?

CÓMO ACTÚAN LOS CIBER DELINCUENTES

El objetivo de un ciberdelincuente es obtener información confidencial mediante el uso de técnicas de Ingeniería Social para engañar a sus víctimas, tal como se muestra a continuación.

Cómo operan los ataques Phishing en la Ingeniería Social

¿Cómo prevenir un ciber ataque Phishing?

No hagas clic en enlaces sospechosos, si recibes un correo electrónico o mensaje de texto que parece sospechoso o no conoces al remitente, no hagas clic en ningún enlace ni descargues ningún archivo adjunto.
Verifica la autenticidad del remitente antes de hacer clic en cualquier enlace o proporcionar información personal, asegúrate de verificar que el remitente sea legítimo.
No compartas información personal como contraseñas o números de tarjeta de crédito, a menos que estés seguro de que el sitio web o servicio es legítimo y confiable.
Revise que el sitio web sea seguro verificando que éste muestre un ícono de candado a la izquierda del URL y las siglas “https”. Por ningún motivo abra páginas inseguras que muestren únicamente las siglas “http” y peor aún ingreses datos personales en estos sitios.

Es importante que todos estemos al tanto de los peligros del phishing y que tomemos medidas para proteger nuestra información personal e institucional. Si tienes alguna duda o sospecha de un posible ataque de Phishing, comunícate con la Dirección de Tecnologías de Información de la Universidad. soporte.dti@unl.edu.ec

CÓMO IDENTIFICAR UN CORREO FRAUDULENTO

El correo electrónico es un medio de comunicación oficial dentro de una institución, razón por la cual los ciberdelincuentes utilizan este medio de comunicación para realizar estafas y robo de información. A continuación se presentan las características más comunes de correos electrónicos de Phishing, así como una guía que te ayudará a identificar un correo falso.

En la siguiente imagen, a la izquierda se muestra un correo oficial de la institución y a la derecha una falsificación que busca robar sus datos, instalar un virus, comprometer los sistemas institucionales, etc.

CORREO ENVIADO POR LA INSTITUCIÓN	CORREO ENVIADO POR UN CIBER DELINCUENTE

Es muy importante antes de abrir un correo electrónico verificar siempre el remitente, cuando se trata de un correo institucional, estan bajo el dominio “@unl.edu.ec” si encuentra este dominio alterado elimínelo de inmediato o márquelo como SPAM, y si el correo es de un tercero, verifique bien el remitente y acepte los correos únicamente si conoce la fuente o el origen, caso contrario eliminarlos y evite abrir su contenido (adjuntos, enlaces, etc.).

CORREO ENVIADO POR LA INSTITUCIÓN	CORREO ENVIADO POR UN CIBER DELINCUENTE

Los correos de carácter informativo siempre son enviados a un grupo determinado de personas, si detecta que un correo informativo está dirigido exclusivamente para usted, dude y revise bien el remitente.