PRIVACIDAD Y SEGURIDAD EN INTERNET

a. ¿Qué es la ingeniería social?

La Ingeniería Social es el acto de manipular a una persona a través de

técnicas psicológicas y habilidades sociales para cumplir metas específicas.
Éstas contemplan entre otras cosas: la obtención de información, el acceso a
un sistema o la ejecución de una actividad más elaborada (como el robo de
un activo), pudiendo ser o no del interés de la persona objetivo.

La Ingeniería Social se sustenta en un sencillo principio: “el usuario es el

eslabón más débil”. A menudo, se escucha entre los expertos de seguridad
que la única computadora segura es la que esté desenchufada, a lo que, los
amantes de la Ingeniería Social suelen responder que siempre habrá
oportunidad de convencer a alguien de enchufarla.

La Ingeniería Social es un arte que pocos desarrollan debido a que no todas

las personas tienen “habilidades sociales”. Aún así, hay individuos que desde
pequeños han demostrado tener la aptitud y con un poco de entrenamiento
convertirla en el camino ideal para realizar acciones maliciosas. Por ejemplo,
hay crakers que en vez de perder horas rompiendo una contraseña, prefieren
conseguirla preguntando por teléfono a un empleado de soporte técnico.

b. ¿Cuáles son los trucos para evitar ser víctima de phishing?

1. APRENDE A IDENTIFICAR CLARAMENTE LOS CORREOS

ELECTRÓNICOS SOSPECHOSOS DE SER PHISHING

Existen algunos aspectos que inequívocamente, identifican este tipo de

ataques a través de correo electrónico:
● Utilizan nombres y adoptan la imagen de empresas reales
● Llevan como remitente el nombre de la empresa o el de un empleado real
de la empresa
● Incluyen webs que visualmente son iguales a las de empresas reales
● Como gancho utilizan regalos o la pérdida de la propia cuenta existente

2. VERIFICA LA FUENTE DE INFORMACIÓN DE TUS CORREOS

ENTRANTES

Tu banco nunca te pedirá que le envíes tus claves o datos personales por
correo. Nunca respondas a este tipo de preguntas y si tienes una mínima
duda, llama directamente a tu banco para aclararlo.

3. NUNCA ENTRES EN LA WEB DE TU BANCO PULSANDO EN LINKS

INCLUIDOS EN CORREOS ELECTRÓNICOS
No hagas clic en los hipervínculos o enlaces que te adjunten en el correo,
ya que de forma oculta te podrían dirigir a una web fraudulenta.
Teclea directamente la dirección web en tu navegador o utiliza
marcadores/favoritos si quieres ir más rápido.
4. REFUERZA LA SEGURIDAD DE TU ORDENADOR

El sentido común y la prudencia es tan indispensable como mantener tu

equipo protegido con un buen antivirus que bloquee este tipo de ataques.
Además, siempre debes tener actualizado tu sistema operativo y
navegadores web.

5. INTRODUCE TUS DATOS CONFIDENCIALES ÚNICAMENTE EN

WEBS SEGURAS

Las webs seguras han de empezar por ‘https://’ y debe aparecer en tu

navegador el icono de un pequeño candado cerrado.

6. REVISA PERIÓDICAMENTE TUS CUENTAS

Nunca está de más revisar tus cuentas bancarias de forma periódica,

para estar al tanto de cualquier irregularidad en tus transacciones online.

7. NO SÓLO DE BANCA ONLINE VIVE EL PHISHING

La mayor parte de ataques de phishing van contra entidades bancarias,

pero en realidad pueden utilizar cualquier otra web popular del momento
como gancho para robar datos personales: eBay, Facebook, Pay Pal, etc.

8. EL PHISHING SABE IDIOMAS

El phishing no conoce fronteras y pueden llegarte ataques en cualquier

idioma. Por norma general están mal escritos o traducidos, así que este
puede ser otro indicador de que algo no va bien.

9. ANTE LA MÍNIMA DUDA SE PRUDENTE Y NO TE ARRIESGUES

La mejor forma de acertar siempre es rechazar de forma sistemática

cualquier correo electrónico o comunicado que incide en que facilites
datos confidenciales.

10. INFÓRMATE PERIÓDICAMENTE SOBRE LA EVOLUCIÓN DEL

MALWARE

c. ¿Qué debes hacer si detectas un caso de phising?

Tanto si has descubierto un email extraño que viene de una compañía

conocida solicitando tus datos, como si has recibido archivos adjuntos que tú
no has solicitado, se recomienda seguir las siguientes 9 pautas de seguridad
y evitar el robo de tus datos:

1. Observa detalladamente las URL en los enlaces de correo electrónico

2. Typosquatting

Siguiendo con la verificación de las URL, el typosquatting se refiere al uso

de dominios parecidos al servicio legítimo a los que dicen pertenecer,
pero que tienen intenciones maliciosas. Por lo general los
ciberdelincuentes utilizan URL de una marca popular y cambian tan solo
una o dos letras consiguiendo engañar a la mayoría de las personas. Es
necesario revisar la ortografía de las URLs.

3. Cuidado con las redes inalámbricas que utilizas

Seguramente utilizas algunas redes públicas para navegar con tu móvil

cuando te encuentras fuera de casa, pero debes tener cuidado de no
utilizarlas al realizar pagos o compras online.

4. Utiliza contraseñas seguras

Siempre utiliza contraseñas diferentes y difíciles de adivinar. Si incluyes

letras mayúsculas y minúsculas así como números y símbolos serán
mucho más difíciles de descifrar.

5. No abras emails que no hayas solicitado

Antes de abrir cualquier correo electrónico verifica si hay alguna alerta

sobre algún ataque de phishing de la empresa que lo envía. Si aún
desconfías, puede ser una buena idea llamar directamente a la empresa y
preguntar si están haciendo algún tipo de comunicación al respecto del
título del email que te hayan enviado.

6. No hagas clic en los enlaces de los email

Por lo general un ataque de phishing descarga malwares a través de

enlaces que se han adjuntado al correo electrónico, así que mantén una
alerta máxima al seguir enlaces en los emails, SMS, mensajes de
WhatsApp o en redes sociales, a pesar de que hayan sido enviados por
personas conocidas.

7. No descargues ficheros adjuntos

Al igual que en los enlaces, deberás tener mucha precaución al descargar

los ficheros adjuntos en redes sociales, WhatsApp o SMS.

8. Puedes contar con un programa de formación antiphishing

Así podrás crear conciencia en tus empleados por medio de la educación

sobre la seguridad que se debe tener contra estas prácticas maliciosas.

9. Cambia tu contraseña de inmediato

 Si caes en un ataque de phishing no dudes en cambiar tu clave de
acceso. Además será recomendable llamar al banco para confirmar si ha
habido algún tipo de actividad fraudulenta.

d. Busca una noticia en internet sobre un caso de phishing. Haz un

breve resumen e indica el medio de difusión. Debe tener una antigüedad
menor a 6 meses.

05/02/2020

¡Ojo! Así lo pueden engañar para

robarle y vender su cuenta de Netflix
Una campaña de phishing activa ronda a los usuarios a través de correos
electrónicos.

El phishing comienza con un correo electrónico que pareciera ser de su

servicio de suscripción. El mensaje dice que "por motivos de falta de
información en su cuenta o que la misma es incorrecta, la cuenta sería
suspendida". A ello se le suma la advertencia de que tiene solo 72 horas
para actuar.
Ese tipo de alertas de poco tiempo son un mecanismo de manipulación
recurrente entre ciberdelincuentes, que buscan que las víctimas no se
detengan a reflexionar sobre el origen de una situación sino que actúen
para resolverla rápidamente.
Como ocurre en este tipo de ataques, al hacer clic en el enlace los usuarios
llegan a un sitio web idéntico al oficial. Allí, los usuarios llegan a un formulario
en el que entregan sus usuarios, contraseñas y la tarjeta de crédito vinculada
con su cuenta. Una vez la víctima ingresa sus datos financieros, la campaña
redirecciona al sitio oficial. Allí el usuario inicia sesión común y corriente y
cree que 'solucionó' el inconveniente.

Fuente: https://www.eltiempo.com/tecnosfera/apps/robo-de-cuentas-de-
netflix-a-traves-de-correo-electronico-459140

e. ¿Cuáles son los riesgos que alguien utilice wifi sin tu permiso?

● Reducción del ancho de banda dependiendo del número de dispositivos

intrusos conectados y del uso que hagan de la red, pueden llegar a
impedir la conexión de los tuyos.
● Robo de la información transmitida. Una configuración inadecuada del
router puede permitir a un atacante robar la información que transmites.
● Conexión directa con tus dispositivos. Un intruso con los conocimientos
suficientes, ayudado por un problema de seguridad o en una instalación
sin la seguridad apropiada, podría “colarse” en los equipos conectados.
● Responsabilidad ante acciones ilícitas. Cuando contratas una conexión a
Internet con un proveedor de servicios, ésta queda asociada a tu nombre,
 asignándote una dirección IP que te identifica dentro de Internet.
Cualquier acción realizada desde dicha IP, estará asociada a ti.

f. ¿Qué podemos hacer para evitar los riesgos anteriores? (consejos

y recomendaciones)

Con los siguientes consejos aquellos que quieran acceder a tu wifi lo

tendrán más que complicado:

1. Oculta tu red. Una forma interesante de evitar que te roben el wifi

es ocultar tu red, de esta forma solo las personas que conozcan el
nombre de la red y la contraseña podrán conectarse a ella.
2. Cambia la contraseña predeterminada por una personalizada.
3. Modifica el nombre de la red. El nombre de la red puede dar
muchas pistas del tipo de router que sustenta dicha conexión.
4. Cambia las credenciales de acceso al propio router.

g. ¿Qué es el cifrado WPA2?

El acceso protegido WI-Fi 2 se realizó principalmente como una actualización de los

protocolos de seguridad anteriores, es decir, WEP y WPA. El estándar WPA2 incluía
todos los requisitos de seguridad en línea con los estándares de seguridad de IEEE
802.11i. Esta actualización ofrece un control de acceso a la red más seguro y una
mayor protección de los datos. Tras la aprobación de la especificación IEEE 802.11i
en julio de 2004, se publicó el WPA2 basado en el mecanismo Robust Security
Network (RSN). El WPA2 soporta los mecanismos disponibles en el WPA junto con
algunas actualizaciones que se enumeran a continuación.

● Prestación de un mayor apoyo tanto a la infraestructura como a las redes ad hoc

en términos de cifrado y autenticación. El anterior protocolo de seguridad (WPA)
se limitaba únicamente a las redes de infraestructura;
● Provisión de caché de claves oportunista. Con ello se pretende principalmente
reducir los costes de itinerancia entre los puntos de acceso;

La WiFi Alliance ordenó una certificación WPA2 obligatoria en 2006. Esta certificación
garantiza que todo el hardware fabricado a partir de ese día es compatible con los dos
protocolos de seguridad, específicamente WPA y WPA2.

El uso de WPA2 proporciona a los usuarios de WiFi un mayor nivel de seguridad, de

modo que los datos compartidos a través de la red sólo pueden ser accedidos por
usuarios autorizados. Dos versiones de WPA2 están disponibles hoy en día. Uno es
WPA2-Personal que protege el acceso a la red proporcionando una contraseña de
configuración. La WPA2-Enterprise, por otro lado, autentica a los usuarios de la red a
través de un servidor.