REDSEGURIDAD 083

70 red seguridad cuarto trimestre 2018 amenazas opinión res debilidades del ser humano: la curiosidad y la codicia. Y una vez que la víctima abre el fichero con- tenido en el dispositivo, se recoge información privada o se infecta el dispositivo con un malware . – Código QR malicioso: este ata- que consiste en el escaneo de un código QR, ya que la víctima no sabe a dónde le lleva el mismo. Es posible que la víctima sea redirigi- da a una página maliciosa o bien provocar una instalación de una aplicación fraudulenta en el dispo- sitivo móvil. – Rogue AP WiFi: este ataque con- siste en crear puntos de acceso falsos con mensajes atrayentes para las víctimas como "WiFi gra- tis" o con el nombre similar al de una red legítima de todos aquellos usuarios que se conecten a la Red, pudiendo interceptar toda la nave- gación/datos de la víctima. – Vishing: esta táctica consiste en una llamada telefónica. Por ejem- plo, dependiendo del puesto que ocupe la víctima en una compañía, el ciberdelincuente intentará con- seguir información más o menos confidencial. Este tipo de ataques también se da mucho en el entorno personal, por ejemplo, simulando ser un empleado de una entidad bancaria o de una compañía tele- ro adjunto y se ejecuta un código malicioso que cifra todos los archi- vos del ordenador, produciéndose una pérdida total de los datos (en el caso de no poseer una copia de seguridad). En otras ocasiones los emails no contienen ficheros dañinos y lo que buscan es que las víctimas introduzcan datos privados como contraseñas o números de tarjetas bancarias. – Smishing: son pruebas con men- sajería instantánea o SMS que están cobrando cada vez más rele- vancia debido a la popularización de este tipo de comunicaciones. Los cibercriminales han decidido adaptar los métodos utilizados en los emails mandando direcciones URL acortadas a través de aplica- ciones de mensajería instantánea como WhatsApp o Skype. En la mayoría de los casos, los mensa- jes utilizados suelen pertenecer a sorteos o distribuyen un bulo para ganarse la confianza de la víctima. – Distribución de memorias USB: este ataque consiste en el abando- no intencionado de un dispositivo de almacenamiento USB, en luga- res fáciles de encontrar por la vícti- ma, con un fichero malicioso para la recolección de datos privados. Este método utiliza dos de las mayo- L a ingeniería social se basa en la interacción humana y está impulsada por personas que usan el engaño con el fin de violar los procedimien- tos de seguridad que normalmen- te deberían haber seguido en su empresa o en su vida personal. La finalidad es siempre la misma: robar información y usarla en su contra. Como todos sabemos, la infor- mación es el activo más importante tanto para una empresa como para una persona, por lo que una vez que un ciberdelincuente ha conseguido acceder a la misma y la tiene en su poder, es imposible cuantificar las pérdidas económicas o el daño repu- tacional que puede causar. Ataques comunes A continuación se muestran los ata- ques más comunes destinados al eslabón más débil: las personas. – Phishing: el envío de correos elec- trónicos es la forma más habitual de realizar un ataque de ingenie- ría social. Un empleado recibe un email , lo abre e interactúa con él, pinchando en los iconos o enlaces incluidos en el mismo. En la actualidad se utilizan emails en los que se incluye un fichero adjunto con un malware deno- minado ransomware . En estos casos, el usuario descarga el fiche- Elisa Sánchez Responsable del Departamento de Formación de Áudea Seguridad de la Información ¿Conoces las nuevas técnicas de ataques de los ciberdelincuentes?