Diferencia entre ingeniería social y piratería

Los ataques de ingeniería social se basan en la manipulación psicológica del objetivo, con el objetivo de atraer a víctimas desconocidas para que divulguen información confidencial o firmen activos digitales.

La ingeniería social no realiza ataques directos a los sistemas de seguridad, el hardware o el lado tecnológico de las cosas. Se dirige al eslabón más débil de la cadena: nosotros.

A través del engaño y la manipulación, se engaña a la víctima para que entregue voluntariamente sus datos confidenciales al atacante. 

Los hacks, por otro lado, apuntan a un elemento de seguridad completamente diferente.

La piratería involucra ataques directos en hardware, infraestructura o elementos de seguridad para encontrar o crear vulnerabilidades explotables. El objetivo de los perpetradores es diferente.

Las técnicas predominantes hoy en día intentan obtener control sobre su dispositivo o sistema, o robar credenciales para obtener un beneficio financiero.

También hay ocasiones en que el autor realiza un ataque con la única intención de lastimar a la víctima. 

Ahora echemos un vistazo a cinco de los ataques de piratería y de ingeniería social más comunes, y un error del que todos somos culpables.

Ransomware o Secuestro de datos

Este software malicioso infecta su computadora y generalmente amenaza con eliminar sus datos, a menos que pague un rescate. Las circunstancias cambian según el tipo de ransomware con el que se está tratando. 

Scareware es el tipo de ataque más primitivo. Su computadora o navegador interactúa con un script o software malicioso y muestra un mensaje de advertencia, tratando de asustarlo para que descargue un archivo, pague un producto o se comunique con un equipo de soporte falso. Puede eliminar fácilmente el scareware con productos de ciberseguridad de alta calidad y de fácil acceso, sin dejar ningún daño a sus datos o dispositivo.

Un screen locker (bloqueador de pantalla) es otro tipo de ataque de ransomware, y también más peligroso que el scareware. Los bloqueadores de pantalla lo bloquean por completo de su dispositivo y muestran un mensaje que se hace pasar por una organización estatal o grupo de prevención del delito.

Casualmente, estos grupos están felices de desbloquear su dispositivo si los paga con criptomoneda. Sin embargo, pagar el rescate no libera automáticamente sus datos, y lo más probable es que sus datos desaparezcan para siempre.

El peor de los casos es el cifrado ransomware. Aquí el atacante cifra sus datos y amenaza con su eliminación o publicación si no paga el rescate. Los hackers detrás del famoso ransomware WannaCry trajeron mucha reputación negativa a las criptomonedas, particularmente a Bitcoin, ya que las víctimas tuvieron que pagar el rescate en Bitcoin.

El grupo WannaCry recibió un total de 327 pagos por un total de 51.62 BTC. Esto vale más de $ 500,000 USD al momento de escribir este artículo. 

Tanto los bloqueadores de pantalla como los ataques de cifrado ransomware son, en muchos casos, imposibles de eliminar una vez que toman el control de su dispositivo. La única solución es la prevención. 

Baiting o Cebo

Como su nombre lo indica, el cebo es una actividad en la que el atacante intenta atraer o cebar a la víctima potencial con la promesa de una recompensa. El cebo ocurre tanto físicamente como en línea. En el ámbito físico, el cebo puede ser una memoria USB o una billetera de hardware dejada en un lugar visible. Una vez que lo conecte a su dispositivo, el software malicioso atacará su computadora. El cebo en línea generalmente se presenta en forma de anuncios y concursos prometedores.

Si alguna vez encuentra una billetera de hardware Trezor con una etiqueta con el nombre «CZ’s BTC Life Savings», probablemente no sea real. No use dispositivos que no le pertenezcan, y esté atento a los anuncios y ofertas que prometen grandes ofertas o beneficios. 

Vishing

Una combinación de las palabras voz y phishing, vishing, es uno de los ataques en aumento, con nuevas variaciones que aparecen a diario. Esta técnica no utiliza correo, llamadas telefónicas o mensajes, sino servicios telefónicos por Internet (VoIP).

El ataque es una llamada que le informa que su cuenta bancaria o tarjeta está bloqueada, que su hipoteca preaprobada está lista o que una organización benéfica está buscando su contribución.

Los perpetradores a menudo se hacen pasar por personas de confianza, como empleados bancarios, cobradores de deudas, atención al cliente o incluso organismos recaudadores de impuestos como el IRS. 

Puede desacreditar fácilmente el vishing llamando al número oficial de la organización que la persona que llama afirma representar y verificando la información. Una buena regla general, si es sospechoso, es colgar y llamar al número que figura en su sitio web.

El Soporte de Binance nunca lo contactará por teléfono. Nunca comparta datos confidenciales por teléfono porque no importa quién sea su proveedor o fabricante de teléfonos, ninguna llamada es completamente privada.

Pretexting

El atacante tiene como objetivo obtener su información privada a través de una serie de mentiras. Al fingir, el autor a menudo se hace pasar por alguien que conocemos o confiamos en la autoridad, como la policía o los funcionarios bancarios. El pretexter utilizará un sentido de urgencia para atraer su información privada o solicitarle que realice tareas específicas. 

Los objetivos más comunes de la pretensión son los números de seguridad social, los detalles de la tarjeta, las direcciones personales, los números de teléfono, las frases iniciales o incluso los bitcoins.

Para evitar convertirse en una víctima, aplique las mismas reglas que lo haría con vishing: siempre verifique que está hablando con una persona real iniciando una comunicación en un canal diferente al que está utilizando actualmente. 

Cebo y Switch

Los terrenos de caza del cebo y el atacante de conmutación son los entornos confiables de sitios web y motores de búsqueda.

Los dominios maliciosos se muestran como resultados regulares, a veces patrocinados, entre muchos resultados legítimos para su búsqueda.

Con técnicas avanzadas de SEO y publicidad paga, el cebo se hace pasar por un sitio web oficial y sube en los rankings de los motores de búsqueda. Una vez que hagas clic en el resultado creyendo que es legítimo, serás llevado al sitio web del atacante.

Para evitar este ataque, debe ser proactivo.

Evite visitar sitios web con nombres inusuales o nombres que contengan errores tipográficos. No crea en anuncios que prometen resultados poco realistas. Use su sentido común y no haga clic automáticamente en algo que le llame la atención. 

Reutilización de credenciales

Aunque este no es un ataque como tal, es una vulnerabilidad que vale la pena mencionar, ya que los atacantes la explotan regularmente.

La reutilización de la información de inicio de sesión es algo de lo que todos hemos sido culpables en el pasado. Todos hemos reutilizado el mismo nombre de usuario y contraseña en múltiples servicios.

Una vez que un atacante roba sus datos de una plataforma, todas sus otras cuentas están expuestas y en riesgo si no está utilizando credenciales únicas. 

Dejemos atrás la reutilización de credenciales. Hay una enorme selección de administradores de contraseñas de código abierto gratuitos y seguros disponibles para usted hoy, que generarán contraseñas seguras y únicas para cada sitio que use. 

Conclusión

Es importante tener en cuenta que no todo el pirateo es malicioso. Cypherpunks, probadores de penetración, hackers de sombrero blanco y muchos más están ayudando tanto a individuos como a empresas a mantenerse seguros en la era digital. El criptomoneda escena está llena de miles de criptografía y las empresas Bitcoin, individuos y profesionales de la seguridad, creando un futuro más seguro para todos nosotros. 

Creemos que solo podemos ser tan fuertes como el eslabón más débil. Cada individuo necesita aprender cómo cuidar su seguridad y mantenerse a cargo de sus datos privados y su riqueza. Como con todas las formas de ataque, su mejor defensa es el sentido común y la conciencia. 

Mejoremos juntos nuestra seguridad digital. ¡Comparte nuestra campaña #StaySAFU con tus amigos! 

Asegúrese de seguir a Binance y Binance Academy en Twitter para mantenerse al día con los últimos desarrollos de la campaña