Scammers

Todos los que trabajamos en el mundo de la tecnología desde hace años sabemos y conocemos cómo funcionan la mayoría de dispositivos electrónicos como ordenadores, smartphone, tablets, etc. Pero no debemos olvidar que hay mucha gente que no tiene conocimientos en tecnología y mucho menos en seguridad, que no saben encender el ordenador, crear una presentación con PowerPoint o utilizar un procesador de textos. La mayoría de estas personas no tienen conocimientos mínimos en tecnología porque no lo necesitan, no lo han necesitado o simplemente les da miedo este mundo, pero todos ellos son igualmente válidos y muy apetecibles para las mafias y ciberdelincuentes, ya que tienen el recurso más preciado por los delincuentes, dinero y datos personales.

Cuando a un niño se le regala su primer portátil o a una persona adulta su primer teléfono móvil para que esté conectado con la familia, comienzan a entrarse en este mundo maravilloso, bonito y sencillo de la tecnología, pero a ninguno se le muestra lo retorcido, malvado y diabólico que puede llegar a ser. Todos estamos constantemente conectados con la tecnología, desde niños hasta personas adultas, la tecnología está presente en nuestros televisores, coches, trenes, aviones y todo lo que podáis imaginaros, utilizamos tecnología en el trabajo, en la calle y en casa.

Aquí es donde entra en juego las mafias y delincuentes, intentándose aprovechar de todas las personas, para ello estudian minuciosamente cada sistema operativo, aplicación, dispositivo electrónico, invirtiendo mucho dinero y tiempo, y contratando a personas muy cualificadas para explotar los recursos al máximo con el fin de engañar a las personas. La ingeniería social es una de las técnicas mas utilizadas para engañar a los usuarios, enviándoles correos electrónicos, sms, llamándoles, indicando que han ganado un premio, que vas a conocer a la chica de tus sueños o que vas a ganar mucho dinero sin mover un dedo. En este post quería dar la entrada al termino scammers, muy relacionado con la ingeniería social, ya que este es el nombre que se les da a los delincuentes que engañan y estafan a los usuarios, ya sea por correo electrónico, llamadas telefónicas o páginas web fraudulentas.

Siempre me gusta dar algunos ejemplos de noticias recientes relacionadas con el tema, y en este caso podemos ver desde La Comisión Federal de Comercio que existe una campaña para concienciar a los consumidores de la estafa cada vez más popular y utilizada por los delincuentes, que consiste en llamar al usuario haciéndose pasar por el soporte técnico de Windows para hacer ver a la víctima que tiene un virus y que debe instalarse un software para eliminarlo, siendo este un software que en lugar de eliminar virus deja la puerta abierta al atacante. Pero no solo intentan engañar a los usuarios sino también a personas que trabajan para empresas, como puede ser el conocido caso del hacker que engañó al soporte técnico de Apple, donde el scammer se hizo pasar por un usuario de Apple para resetear la contraseña de iCloud de la víctima, y así poder robar toda su información y borrar el contenido de sus dispositivos iPhone, iPad y MacBook.

Para evitar estos problemas, además de los cursos de concienciación en seguridad que deben recibir los empleados y la sociedad en general, todos ellos exigibles en la ISO 27001, es recomendable realizar auditoría de seguridad no solo de la parte técnica sino también de todo aquello perteneciente a Recursos Humanos, para ello nos podemos basar en metodologías como OSSTMM de ISECOM, donde el auditor debe realizar llamadas telefónicas a los empleados de la empresa auditada para comprobar si los empleados proporcionan información confidencial o son fácilmente engañados.

Aprovechando este minientrada a OSSTMM, una herramienta muy útil para auditores y completamente compatible con OSSTMM 3 es la recientemente lanzada por Fedora Security Lab, que la disfrutéis.