Si, en efecto es así. En un estudio realizado por IBM se demostró que la inmensa mayoría de los ataques perpetrados por ciberdelincuentes alcanzaban el éxito debido a algún tipo de error humano.
Muchos de nosotros pensamos que los ciberdelincuentes utilizan sus amplios conocimientos en materia de informática para colarse en las grandes corporaciones, donde pueden obtener datos de mucho valor, sin embargo, la realidad es muy distinta. Es cierto que estas grandes empresas sufren multitud de ataques diariamente, pero eso no quiere decir que nosotros no seamos víctimas potenciales. Pensamos que estamos a salvo, que nuestros sistemas se encuentran bien protegidos y sería muy complicado que un ciberdelincuente pudiera hacerse con su botín, es decir, nuestros datos. No obstante, la realidad es que les es mucho más fácil aprovecharse de las vulnerabilidades provocadas por nuestros propios errores y, de hecho, así es, se aprovechan de nuestro desconocimiento.
Un ejemplo muy claro es el de crear una contraseña: supón que protegieses tus bienes más preciados en una caja fuerte con una combinación de 4 dígitos, es cierto, que al ladrón interesado en hacerse con tus bienes, le llevaría un tiempo abrirla, pero al final lograría hacerse con el interior de la caja fuerte. Sin embargo, si en vez de 4 números se trata de una combinación alfanumérica con signos de puntuación, mayúsculas y minúsculas, le sería muchísimo más complicado y probablemente desista en su intento de robo.
Otro hecho constatado es que los ciberdelincuentes suelen aprovecharse de la falta de información y formación que tienen los usuarios para tratar de llevar a cabo sus tácticas y engaños. Se aprovechan de pequeños despistes o errores que cometemos y que afectan directamente a la seguridad de nuestros dispositivos, comprometiendo nuestra valiosa información. A estas tácticas y engaños se les conoce como ingeniería social. Mediante esta práctica se consigue obtener información confidencial, acceso a determinados sistemas de información o incluso credenciales a través de la manipulación de los usuarios.
Dentro de la ingeniería social, las técnicas más utilizadas son:
Phishing: se trata del tipo más común. El atacante recrea un sitio web conocido y con el que la víctima se sienta confiada. A través de un enlace a dicha web plagiada, el usuario pone en compromiso su información personal e incluso su información bancaria.
Vishing: consiste en el uso del Protocolo Voz sobre IP (VOIP) para suplantar la identidad del afectado recreando una voz automatizada (utiliza una llamada de teléfono, en lugar de un mensaje de texto). Buscan obtener información financiera o útil para el robo de la identidad del usuario.
Baiting: también conocido como “cebo” se sirve, por ejemplo, de unidades USB infectadas o discos ópticos que dejan repartidos en lugares públicos con la esperanza de que algún usuario los conecte en sus dispositivos.
Smishing: se trata de una técnica muy similar a las anteriores. Se apoya en mensajes SMS para recrear comunicaciones con el usuario aparentemente legítimas para obtener sus datos personales.
Redes sociales: con el auge de las redes sociales, los ciberdelincuentes han visto en ellas un entorno donde obtener gran cantidad de información que nosotros, los usuarios, compartimos unos con otros. Suelen emplear anuncios y páginas de fans con chollos u oportunidades únicas que envían a los internautas a webs maliciosas.
Fuente: https://www.osi.es/