Estas son las recomendaciones sobre qué sospechar, qué conocer y cómo prevenir estos problemas que generan pérdidas económicas. Se dieron a conocer durante la Jornada de Seguridad Informática en San José organizada por el Tecnólogo en Informática (UTEC-UTU-Udelar)
Una llamada, un mensaje ofreciendo donar una suculenta herencia o un mail que ofrece la oportunidad de ganar dinero casi al instante con solo completar información o avisando el supuesto bloqueo de una cuenta o servicio. Estos son algunos ejemplos de engaños a los que toda la sociedad está expuesta. A la manipulación para que las personas compartan información confidencial se le llama ingeniería social.
Sobre este tema disertó Israel Bellizzi, docente del Tecnólogo en Informática (UTEC-UTU-Udelar) y CISO en Bamboo Payment, durante las Jornadas de Seguridad de la Información el 18 de octubre en San José. Este evento contó con el apoyo y la participación de Infoland, White Monkey, Arnaldo Castro, Ingeniería Digital, Altech, Surtec, Bamboo Payment, Owasp, QoxIT y la Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento (Agesic).
“Al final del día, la protección de datos personales termina siendo un tema de ciberseguridad”, comentó Mauricio Papaleo, director del área de Seguridad de la Información de Agesic durante el evento.
Los usuarios “somos el eslabón más débil de la cadena de la seguridad. En contrapartida: los usuarios capacitados y concientizados somos la primera línea de defensa de la seguridad de la información”, destacó Bellizzi.
Aprender a identificar estos fraudes y también tomar recaudos para que no ocurran es parte de la estrategia a implementar. Bellizzi explicó que las claves para evitar caer en engaños o fraudes informáticos son varios y aplicarlos todos es la recomendación.
Su banco “lamenta informarle que por motivos de cambios en la política de seguridad de nuestra empresa, se requiere que valide sus datos ya que hemos presentadoS varias fallas en nuestro sistema por lo que su tarjeta puede ser inhabilitada”, indica una solicitud por correo que en el mensaje tiene el logo del banco. El correo es de mayconmvz@hotmail.com. Ahora bien, ¿cómo empezar a sospechar de este y otros mensajes?
Algunas recomendaciones son:
-Buscar faltas de ortografía o de sintaxis (¿puedes encontrar el error en el texto descrito arriba?).
-Observar desde qué correo y dominio se envía el mensaje (en este caso, una dirección de hotmail, no un dominio del banco).
-Reflexionar si se trata de una comunicación no solicitada, especialmente si pide información personal.
-Entrar en alerta cuando el mensaje se aprovecha de la confianza, el miedo o la urgencia.
Los ataques de ingeniería social se basan en manipulaciones psicológicas. Conocer los métodos más comunes es importante para poder identificarlos.
-Phishing: intento de adquirir información sensible (como nombres de usuario y contraseñas) al disfrazarse como una entidad confiable en una comunicación electrónica. Por ejemplo, presentarse como una empresa, banco o institución de renombre (pese a no serlo).
-Pretexting: es la creación de un escenario falso o pretexto para obtener la información.
-Baiting: consiste en ofrecer algo tentador para atraer a la víctima a una trampa.
-Impersonation: suplantación de la identidad de una persona o entidad conocida y confiable para intentar el engaño.
Cuidarse para prevenir los engaños y fraudes incluye contar con algunos conocimientos. Aquí algunos consejos prácticos:
-Conocer que las direcciones URL de los sitios web se componen de la siguiente manera: https://www.ejemplo.com.uy/recursos/archivo.pdf La mayor parte puede variar, pero el dominio “ejemplo.com.uy” debe estar siempre, invariablemente. Es un engaño cuando el sitio de ejemplo se le interponen palabras o números entre medio https://www.ejemplo.hola.com.uy. En este caso, el dominio sería hola.com.uy, y el hecho que tenga la palabra “ejemplo”, no lo hace parte del dominio. Ahí radica el engaño.
-Usar contraseñas seguras y cambiarlas regularmente.
Una contraseña de 4 a 6 caracteres únicamente compuesta de números o de letras (sin diferenciar mayúscula ni guiones ni uso de símbolos) puede ser violada de manera instantánea. En cambio, una contraseña de 7 caracteres con uso de mayúsculas, minúsculas, números y símbolos, aumenta su tiempo de vulneración a 31 segundos. Cuando la contraseña es de 10 caracteres con números, letras mayúsculas y minúsculas entonces podría llevar hasta 3 semanas. Y usar una contraseña de 12 caracteres con las mismas condiciones que la anterior llevaría 200 años romperla.
-Es recomendable activar el uso de autenticación de dos factores en los servicios y aplicaciones que utilizamos. Se trata, por ejemplo, del envío de un código al celular o del uso de la huella digital para verificar la identidad. Existen tres posibilidades de verificación: algo que soy (ojo o huella digital), algo que sé (mi contraseña compleja), algo que tengo (mi celular y un envío de código).
-Mantener el software y los sistemas operativos actualizados para protegerse contra vulnerabilidades.
-Verificar siempre la autenticidad de la persona o entidad antes de compartir información. Es decir, no compartir datos personales o confidenciales a menos que estés seguro de la identidad del destinatario.
Para conocer más sobre la seguridad, sobre cómo formarse en Tecnologías de la Información y las carreras que ofrece UTEC vinculadas como Licenciatura en Tecnologías de la Información, Ingeniería en Mecatrónica, Tecnólogo en Análisis y Desarrollo de Sistemas, Tecnólogo en Informática, ingresa en www.utec.edu.uy
La Universidad abre su periodo de preinscripciones 2023-2024 a partir del 1° de noviembre de 2023.
Noticias, actividades e ideas en tu mail cada semana.
UNIVERSIDAD TECNOLÓGICA @ 2024 - Todos los derechos reservados.
Teléfono (+598) 2603 8832 | consultas@utec.edu.uy