Pautas para identificar las técnicas de ingeniería social asociadas al COVID-19

Fecha de publicación 14/04/2020
Autor
INCIBE (INCIBE)
Ingeniería social COVID19

Los ciberdelincuentes no entienden de emergencias sanitarias a nivel global, aprovecharán cualquier situación de la que puedan obtener un beneficio, como la actual del COVID-19. Otro factor a tener en cuenta es la criticidad de las organizaciones dedicadas al sector salud o cualquier otro sector esencial, como la logística o la industria. El estrés que están sufriendo los convierte en un objetivo mucho más atrayente, y cualquier ciberataque podría resultar nefasto. Por todo ello, los trabajadores deben saber identificar las amenazas que pueden afectar a su organización con el objetivo de salvaguardar la continuidad de la misma.

Ataques basados en ingeniería social

Los ciberdelincuentes tienen principalmente dos métodos para sortear la seguridad de las organizaciones: valerse de vulnerabilidades o configuraciones deficientes, técnicas generalmente más costosas; o atacar a los empleados mediante técnicas de ingeniería social. Este segundo vector de entrada es de los más utilizados en la actualidad para robar información confidencial y distribuir malware, siendo el correo electrónico el canal de comunicación preferido por los ciberdelincuentes.

Pautas para identificar los correos fraudulentos con técnicas de ingeniería social

Los correos electrónicos fraudulentos, ya sea actualmente debido a la situación provocada por el COVID-19 o en cualquier otro momento, siguen las mismas pautas. Sabiendo identificar los indicios de un ataque de ingeniería social, se reducirá en gran medida el riesgo de que se produzca un incidente de seguridad.

  • Urgencia. Insta a las posibles víctimas a hacer una determinada acción, como abrir un enlace o descargar un adjunto, lo más rápido posible para que así no tengan tiempo de valorar si la comunicación es legítima o no. Generalmente llevan asociada una consecuencia negativa si no se realiza la acción. Este tipo de estrategia es utilizada comúnmente en los phishing a entidades bancarias, aunque puede usarse con otro gancho como es el COVID-19.
  • Autoridad. Esta estrategia está basada en utilizar entidades, personalidades reconocidas o incluso miembros de la propia organización para forzar al usuario a realizar la acción maliciosa. Algunas de las suplantaciones más utilizadas son:
    • empresas de mensajería,
    • empresas tecnológicas,
    • servicio de correo electrónico y herramientas de ofimática,
    • organismos gubernamentales,
    • Fuerzas y Cuerpos de Seguridad del Estado, y
    • empresas energéticas, entidades bancarias o proveedores de Internet.
  • Voluntad de ayudar. Debida a la situación de crisis actual, los ciudadanos sentimos la necesidad de ayudar a otros en todo lo que esté a nuestro alcance. Por ello, los ciberdelincuentes se aprovecharán de esta situación, alegando cualquier necesidad y apelando a nuestra voluntad de ayudar.
  • Gratuidad. Nada llama más la atención que algún producto o servicio gratis, los ciberdelincuentes lo saben y utilizan constantemente esta estrategia. Habitualmente es utilizada en las campañas de falsos vales descuento para supermercados, aunque pueden modificarla y ofrecer otros productos y servicios como mascarillas, geles desinfectantes, Internet, luz, gas, etc.

Otros factores a comprobar para detectar correos fraudulentos

Además de tener en cuenta los anteriores indicios, se debe prestar especial atención a otros factores que sirvan para identificar los correos fraudulentos.

  • Remitente. El primer paso a comprobar es el remitente del correo, la dirección de donde proviene debe coincidir con la organización a la que representa. Por ejemplo, un correo de un organismo gubernamental nunca procedería de una cuenta de correo gratuita como es Gmail u Outlook. Los ciberdelincuentes pueden falsear esta información por lo que se deben comprobar más factores.
  • Adjuntos. Ante cualquier documento adjunto se deben extremar las precauciones y se considerarán todos como potencialmente inseguros. La gran mayoría de entidades nunca envían adjuntos en sus comunicaciones, a no ser que hayan informado de ello previamente, como por ejemplo una factura. Es recomendable no abrir nunca los adjuntos que tengan las siguientes extensiones:
    • .exe – El tradicional archivo ejecutable de Windows.
    • .vbs – Archivo Visual Basic Script que también puede ser ejecutado.
    • .docm – Archivo Microsoft Word con macros.
    • .xlsm – Archivo Microsoft Excel con macros.
    • .pptm – Archivo Microsoft PowerPoint con macros.
  • Enlaces. Los enlaces también pueden ser peligrosos ya que pueden redirigir a sitios web que difunden malware o roban información confidencial, como los phishing. Se comprobará si el sitio web a donde apunta es el que figura en el texto del enlace antes de acceder, y ante la menor duda se comprobará con herramientas en línea, como VirusTotal.
  • Firma y ortografía. La ausencia de firma en el correo o que esta no coincida con la entidad a la que representa son indicios de que puede tratarse de un correo fraudulento. La ortografía también debe tenerse muy en cuenta ya que las organizaciones legítimas no suelen cometer errores ortográficos y su presencia también puede ser síntoma de fraude. El lenguaje utilizado por los ciberdelincuentes muchas veces está utilizado de una manera poco natural, como un robot, con expresiones que no se utilizan normalmente.

En la página web Coronavirus Phishing Scams puedes encontrar muchos ejemplos de campañas fraudulentas que utilizan como gancho el COVID-19, la gran mayoría están en inglés aunque es probable que se traduzcan al español siguiendo el mismo patrón.

Además te recomendamos que accedas a los siguientes artículos donde podrás aprender a identificar la legitimidad de un correo analizando sus cabeceras con herramientas online:

Y para terminar, sigue nuestras recomendaciones para teletrabajar de forma segura:

Si tienes dudas, llama al 017, la Línea de Ayuda en Ciberseguridad de INCIBE. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnología y los dispositivos conectados.

INCIBE 017