Centro Nacional de Respuesta a Incidentes de Seguridad Informática

¿Cuál es el objetivo de estos ataques?

En la actualidad, la ingeniería social es el principal vector de los ataques basados en suplantación de identidad. Algunos de los objetivos que persiguen son:

• Obtener información personal o financiera: número de tarjetas de crédito, cuentas bancarias u otra información personal de valor para el atacante.
• Realizar acciones que perjudiquen la imagen de la víctima (perfil suplantado).
• Publicar fake news, utilizando vínculos de confianza entre la víctima y quienes tengan interés en seguir su cuenta.
• Distribuir phishing, malware u otro tipo de piezas de software que permitan efectuar nuevos ataques contra otras víctimas de interés.

Redes sociales como facilitadores de la suplantación de identidad

En los últimos años, este tipo de actividades han aumentado considerablemente junto con el incremento en el uso de las redes sociales, las cuales se han convertido en una herramienta para diferentes actores maliciosos.

Una persona puede suplantar una identidad sin necesidad de tener acceso a credenciales de un usuario. Alcanza con tomar información de perfiles (imágenes y datos personales) que hoy los usuarios comparten en redes sociales de forma pública.

Algunos métodos utilizados en la obtención de datos:

• Recolección de datos obtenidos a partir de fuentes públicas.
• Recolección de datos personales mediante la instalación de aplicaciones de terceros en redes sociales. Esta información es utilizada para diferentes fines, que van desde la minería de datos hasta el uso malintencionado por parte de actores maliciosos.
• Llamadas telefónicas y/o mensajes de WhatsApp suplantando la identidad de compañías establecidas (bancos, empresas proveedoras de servicios de TV para abonados, telefonía, electricidad, entre otros) que solicitan información sensible (datos de tarjetas, contraseñas de cuentas, entre otros).
• Descargas de malware a través de un archivo o enlace malicioso compartido por un contacto previamente comprometido.
• Phishing con o sin enlaces, que pueden ser recibidos por algún contacto de quien haya sido víctima de una suplantación de identidad en el que se solicitan distintos tipos de información como, por ejemplo, el código SMS de verificación de WhatsApp, que le permitiría al actor malicioso tomar control de la cuenta.

Recomendaciones

• Utilizá contraseñas difíciles de adivinar mezclando letras, números y símbolos.
• Nunca compartas contraseñas personales.
• Si podés, utilizá el doble factor de autenticación.
• Evitá usar la misma contraseña para todas tus cuentas en línea.
• Configura la privacidad de tu perfil en redes sociales, seleccionado la información y decidiendo quién puede acceder a ella y a tus datos personales.
• Cuando instales aplicaciones, recordá siempre hacerlo desde la tienda/repositorio oficial del fabricante de tu dispositivo o desde el proveedor de la aplicación y no desde sitios de terceros. Además, prestá especial atención a los permisos que las mismas piden para evitar que tengan acceso a otra información de tu dispositivo, como ser otras cuentas de correo o de aplicaciones no requeridas para el funcionamiento de la misma.
• Si recibís un correo electrónico o un mensaje sospechoso, te recomendamos:

• Verificá su origen contactando al emisor por otra forma de comunicación. Por ejemplo, llamar al número alternativo de contacto.
• Validá al emisor del mensaje. Un aspecto importante durante la identificación del emisor es solicitar información conocida solo por quien está realizando la validación y el emisor del mensaje.
• Comprobá si el nombre de usuario o casilla de origen es correcto y no está escrito con letras similares que a simple vista se parezcan a un remitente conocido.

Si al recibir un correo te solicitan realizar alguna acción o te pide permiso de acceso a alguna carpeta dentro de tu equipo no lo permitas y elimina el mensaje inmediatamente.