Los ataques de skimming pueden ocasionar incidentes y son una forma de suplantar su identidad. El equipo de Deloitte brinda 10 formas de robarte la identidad digital y cómo evitarlo.
1. Duplicar la tarjeta SIM de tu teléfono celular: Si un atacante tuviera acceso físico a la tarjeta SIM de tu teléfono celular, podría clonar la tarjeta SIM con dispositivos que en pocos segundos y con esto tener acceso a la información almacenada en la misma. Cómo evitarlo: Nunca pierdas de vista tu dispositivo móvil.
2. Ingresar a enlaces maliciosos: Una de las formas más frecuentes utilizados por los atacantes y/o usuarios maliciosos para engañar a sus víctimas es registrar nombres de dominio muy similares a los legítimos, por ejemplo gooogle.com o google.co, al enviar estos dominios maliciosos por enlaces pasas des apercibidos por el usuario final introduciéndolo en un escenario ficticio, con el objetivo de robar sus credenciales. Cómo evitarlo: No confíes en ningún enlace que recibas para acceder a uno de tus servicios. Usa siempre aplicaciones certificadas o escribe la dirección web en tu navegador.
3. Tener una configuración insegura del buzón de voz: Para acceder al buzón de voz de tu teléfono, es necesario introducir una contraseña. Una de las malas prácticas más frecuentes es utilizar la contraseña por defecto configurada en el dispositivo. Existen programas utilizados por los atacantes que envían un código de verificación mediante una llamada telefónica, si el teléfono no tuviera cobertura o no se atienda la llamada el código de verificación seria desviado al correo de voz y podría ser interceptado por un tercero. Cómo evitarlo: No actives el acceso remoto al buzón de voz… y si lo haces emplea una clave compleja.
4. Conectarse a una red wifi pública: Todo wifi que no esté bajo nuestro control puede resultar de alto riesgo. El dueño de ese wifi podría interceptar información confidencial como lo son las credenciales si las utilizamos para acceder a sitio que no cuenten con protocolos de seguridad para cifrar la información.
Cómo evitarlo: Recuerda que las webs seguras –cifradas están destacadas mediante un candado en la barra de navegación del navegador.
5. No configurar un correo electrónico secundario: La mayoría de servicios en Internet ofrecen la posibilidad de registrar un correo secundario en caso de no poder acceder con el correo principal. Un atacante podría robar las credenciales válidas con el correo principal y registrar un correo secundario del atacante y mantener el acceso aunque cambie las credenciales. Cómo evitarlo: Añade un email secundario en todos los servicios que así te lo pidan.
6. Descargar apps maliciosas: Los atacantes suele crear apps atractivas como gancho para acceder a la información sensible de los usuarios. Por ejemplo, un juego podría contener un virus dentro para robar nombres de usuarios, contraseñas y otro tipo de datos. Cómo evitarlo: Adquiera las apps en tiendas oficiales (Google Play o Apple Store) y de un autor reconocido.
7. Ser víctima de la ingeniería social: La ingeniería social se basa en la interacción humana para poder obtener información y no requiere vulnerar la tecnología. Por ejemplo, las llamadas de fraude donde piden datos para ejecutar una transacción por teléfono. Cómo evitarlo: Jamás debes ofrecer ningún tipo de información personal a desconocidos.
8. Tener contraseñas débiles: La complejidad de la clave está en su longitud y uso de algunos caracteres especiales, sin embargo las personas suelen utilizar contraseñas similares donde los atacantes pueden buscar el top 100 de claves o bien buscar en las fugas masivas para corroborar si un usuario ya fue comprometido. Cómo evitarlo: Cambia de claves, al menos, cada seis meses.
9. Interceptar el código de verificación: Incluso aquellos servicios con doble autenticación -es decir, los que para acceder te piden primero un usuario y una clave, y luego una contraseña que te envían al móvil- pueden ser comprometidos. Para suplantar tu identidad, el atacante necesitará, además de robar tu usuario y clave, acceder a tu dispositivo móvil. En muchos casos, un atacante puede forzar la generación de este código e interceptarlo, por ejemplo, accediendo de forma remota a tu buzón de voz o, simplemente, teniendo a la vista tu dispositivo y, por lo tanto, a la clave. Cómo evitarlo: No dejes tu dispositivo a la vista de los atacantes. Configúralo para que no se vea en la pantalla una previsualización de los mensajes que te llegan.
10. Usar preguntas de recuperación sencillas: Algunas personas usan preguntas de recuperación sencillas que pueden obtenerse de información pública (ejemplo, ¿cuál es el nombre de su abuela materna?) o por medio de conversaciones que no parecen sospechosas (¿cómo se llamó su primera mascota?). Si estas preguntas no son difíciles, un atacante podría solicitar la recuperación de contraseña con la serie de preguntas para acceder a tus datos. Cómo evitarlo: Evita preguntas de respuesta fácil como: “¿Cuál fue tu primera mascota?” o “¿Cuál es tu comida favorita?”.
