Mantenerse por delante de los chicos malos

Escrito por Mark Evilsizor
De su columna Tech

En esta época del año, recuerdo que algunas cosas son inevitables: la muerte, los impuestos y los malos que intentan engañarnos para que entreguemos nuestro dinero e información. Hace unos meses escribí sobre tendencias y medidas preventivas de seguridad organizacional, pero tantos amigos han sido engañados o atacados recientemente que quiero compartir algunas de las tendencias de ciberseguridad personal que estoy viendo y cómo podemos mantener la cautela para mantener a raya a los ladrones.

Suplantación de identidad telefónica
Uno de los disfraces que usan los sinvergüenzas para superar nuestras defensas es un sentido de urgencia. Al enfatizar la necesidad de actuar ahora o de lo contrario sucederán cosas peores, funcionan para desencadenar una respuesta instintiva que evita la consideración reflexiva de lo que está sucediendo. Varios amigos y yo recibimos recientemente llamadas telefónicas en las que nos dijeron que se había comprado algo en línea a nuestro nombre, artículos como computadoras, teléfonos u otra tecnología de alto valor. En respuesta podríamos presionar “1” para aprobar la compra o “2” para hablar con un agente. Un amigo eligió "2" y se conectó con una persona muy amigable que pretendía ayudarlo. Como parte del proceso de verificación, se les indicó que buscaran una dirección determinada. Cuando dieron este paso, se descargó un programa legítimo de control remoto en su computadora. No era malware, por lo que el software de seguridad no detectó ningún problema. Afortunadamente, en este punto, la sensación de cautela de la persona se encendió y colgó. Si hubieran continuado, le habrían proporcionado acceso a su PC al malo amigable, donde probablemente habrían instalado malware o habrían tratado de convencer a mi amigo para que revelara su número de cuenta y contraseña.

La regla de oro de la seguridad del correo electrónico es: nunca hagas clic en enlaces o archivos adjuntos que no esperas.

Una forma de protegernos de este tipo de ataque es no contestar el teléfono a menos que el identificador de llamadas revele a alguien que conocemos. Esto reduce nuestro sentido de urgencia e instinto de responder sin consideración. Si alguien deja un mensaje de voz, luego podemos verificar el reclamo de una manera más segura y reflexiva. Si respondemos una llamada y encontramos a un extraño amigable con este tipo de mensaje, debemos señalar al proveedor que dice representar, colgar y contactar a la compañía a un número de teléfono o sitio web legítimo conocido. Cuando un extraño nos llama, nuestra postura predeterminada debe ser cautelosa para no descargar software, compartir información o seguir sus solicitudes.

Correo electrónico
El correo electrónico sigue siendo la principal forma en que los delincuentes intentan acceder a nuestros objetos de valor. Y, desafortunadamente, los malos continúan mejorando sus métodos para engañarnos. En nuestro distrito escolar local, se están realizando importantes recortes presupuestarios y muchos de mis amigos maestros están sufriendo una gran ansiedad. Esta semana, los malos enviaron un correo electrónico que pretendía ser de una persona de recursos humanos de la escuela. Más de un maestro hizo clic en el archivo adjunto y proporcionó su nombre de usuario personal o laboral, contraseña, número de seguro social y más. En este caso, parecía que la cuenta de correo electrónico de un miembro del personal del distrito estaba comprometida. La apariencia de legitimidad, junto con las preocupaciones actuales relacionadas con el trabajo, hizo que el correo electrónico fuera especialmente convincente. El resultado es que ahora muchos deben alertar a las agencias de crédito, configurar un monitoreo de robo de identidad y vigilar de cerca las actividades en sus cuentas durante los próximos meses.

La regla de oro de la seguridad del correo electrónico es: nunca haga clic en enlaces o archivos adjuntos que no esperamos. Si creemos que puede ser real, debemos comunicarnos con el remitente utilizando un canal diferente, como teléfono, en persona o a través de un marcador de sitio web conocido para verificar que la dirección de correo electrónico sea legítima. Esto puede tomar un poco de tiempo, pero no es nada comparado con la cantidad que gastarán los mencionados anteriormente que han sido víctimas de los malos.

MFA
Ya he escrito sobre la autenticación multifactor (MFA) y sigue siendo uno de los métodos más económicos para proteger datos confidenciales. Una contraseña es algo que sabemos, este es un factor. Al habilitar MFA, requerimos una segunda autorización para iniciar sesión en nuestras cuentas. Este segundo factor puede ser un código que nos envíen por mensaje de texto, una solicitud de aprobación que aceptemos en nuestro teléfono o un código que aparezca en una aplicación como Microsoft o Google Authenticator. Al habilitar este requisito del segundo factor, los malos no pueden ingresar incluso si logran robar nuestra contraseña. Y, si recibimos una solicitud de MFA y actualmente no estamos intentando iniciar sesión, no deberíamos aprobarla. Es una señal segura de que nuestra contraseña se ha visto comprometida y debe cambiarse de inmediato.

MFA no es perfecto. Ha habido historias de ladrones que activan 100 solicitudes MFA simultáneamente a la 1 de la mañana sabiendo que muchas personas simplemente aprobarán la solicitud para detener el ping en su teléfono. Si experimentamos esto, podemos simplemente apagar el teléfono y cambiar nuestra contraseña cuando nos levantemos de la cama. A menos que trabajemos para una organización en la que los malos intentan infiltrarse específicamente, es poco probable que esto nos suceda a nosotros. Por lo tanto, para la mayoría de los intentos de fraude, MFA reduce significativamente el riesgo de perder datos o recursos.

Finalmente
Cada vez que los malos logran perpetrar el robo de dinero e información, financian miles de otros intentos. La gran cantidad de ataques y la recompensa financiera de tal piratería significa que es poco probable que los intentos de engañarnos disminuyan en el futuro previsible. Sin embargo, al fortalecer cada uno de nosotros nuestra postura de seguridad y mantenernos cautelosos, no solo nos protegeremos a nosotros mismos, sino también a nuestros vecinos.

Mark Evilsizor ha trabajado en Tecnologías de la Información durante más de 25 años. Actualmente se desempeña como jefe de TI para la Biblioteca Linda Hall en Kansas City, Mo. Las opiniones expresadas son suyas.

Referencias
https://www.shrm.org/resourcesandtools/hr-topics/technology/pages/2022-cybersecurity-trends-ransomware-security-as-a-service-zero-trust.aspx
https://us.norton.com/internetsecurity-privacy-personal-cybersecurity.html