Cinco estafas

cibernéticas que todos

debemos conocer
Por Ladi Adefala, estratega de
Seguridad senior de Fortinet
Los cibercriminales utilizan una amplia variedad de tácticas de estafa para obtener acceso a un dispositivo o
red, extorsionar por dinero o robar información valiosa. Cuando se trata de comprender las amenazas de hoy y
cómo protegerse y asegurar su organización contra ellas, conocer las diversas tácticas en las cuales se utiliza
ingeniería social para engañar a los usuarios puede ser de mucha ayuda. Con esto en mente, las personas
pueden minimizar el impacto de las estafas cibernéticas al conocer las variantes más comunes que utilizan los
cibercriminales. Fortinet presenta en este artículo un resumen de las principales estafas:

2
1. Phishing
Los ataques de phishing son muy comunes tanto en
las redes corporativas como en las personales. Ocurren
cuando un delincuente envía una comunicación (correo
electrónico, llamada telefónica, mensaje de texto, etc.) en
la que pretende ser otra persona para extraer o acceder
a credenciales, datos personales o información financiera
sobre el individuo objetivo o información sensible
relacionada con la organización para la cual trabaja. Aquí
hay algunos consejos que debe tener en cuenta para
reconocer este tipo de mensajes maliciosos:
• Verifique los nombres de los contactos: tenga cuidado
si recibe comunicaciones de una fuente que no reconoce
y que le pide que realice una acción como proporcionar
información personal o iniciar sesión en un sitio. Verifique
su dirección de correo electrónico o número de teléfono
y compárelo con la persona u organización con la que
dice estar asociado para descubrir inconsistencias.
• Busque faltas de ortografía y gramática deficiente: las
organizaciones profesionales se toman el tiempo de leer
sus comunicaciones antes de enviarlas. A menudo, los
cibercriminales de phishing no lo hacen. Si recibe un
mensaje de una fuente supuestamente confiable que
incluye errores tipográficos, una gramática deficiente o
una mala puntuación, es probable que sea una estafa.
• Busque comportamiento agresivo: si el tema y tono
de un mensaje son demasiado agresivos, es probable
que sea una estafa. ¿Alguna vez ha visto un correo
electrónico en su carpeta de SPAM que dice algo similar
a “¡Urgente! Su cuenta está sobregirada por X días.
¡Contáctenos INMEDIATAMENTE”! El objetivo aquí es
hacer que se sienta incómodo, se asuste y tome la
acción que desean los estafadores.
3
2. Spear Phishing
Mientras que los ataques de phishing se envían en masa
y ofrecen pistas relativamente fáciles de detectar, el spear
phishing es su contraparte más específica y mucho más
sofisticada. Los estafadores que practican este tipo de
phishing realizan investigaciones en profundidad sobre
sus víctimas y se toman el tiempo de comprender su
organización, colegas, intereses y más para aumentar sus
posibilidades de éxito. Para protegerse mejor del spear
phishing, considere lo siguiente:
• Sea discreto al entregar información: por más que
suene simple, si los usuarios no estuvieran entregando
voluntariamente su información a los cibercriminales, el
phishing no sería la estafa más efectiva.
• Mantenga una buena higiene de seguridad: cuanto practica
la higiene básica de seguridad, niega a los estafadores
muchos de los vectores de ataque comunes que utilizan para
infectar sus máquinas y obtener acceso a su información o
a la red de la organización. La implementación de hábitos
simples y cotidianos puede contribuir en gran medida a evitar
que las estafas comprometan con éxito un dispositivo o red.
3. Baiting
El baiting o las estafas de carnada, como sugiere su
nombre, apuntan a persuadir a los usuarios desprevenidos
para que realicen una determinada acción como
descargar un virus o ingresar información personal a
cambio de la “carnada”. Los cibercriminales pueden
ofrecer cualquier cosa, desde software antivirus gratuito
o películas que los usuarios pueden descargar, hasta un
cebo físico como una unidad de memoria con la etiqueta
“Información de Salario Corporativo” que la víctima
puede encontrar y conectar a su máquina. Si bien este
tipo de estafa puede tomar muchas formas, el objetivo
final es siempre el mismo: atraer a los usuarios para que
instalen software malicioso. Para protegerse y proteger
su organización, preste atención a estos indicadores
comunes:
• Evite ofertas gratuitas: como dice el viejo refrán: “si
suena demasiado bueno para ser verdad, es probable que
no lo sea”. Muchos estafadores cibernéticos intentarán
atraer víctimas con promesas de descargas gratuitas,
envíos gratuitos, suscripciones gratuitas, etc.
4
• Evite las unidades flash externas o los discos duros
desconocidos: las hostigaciones se pueden realizar
digitalmente o con unidades físicas que instalan software
malicioso. Asegúrese de conocer al propietario de la
unidad antes de conectarla a su máquina.
4. Ataques a dispositivos móviles
Los dispositivos móviles también están siendo cada vez
más atacados por estafas criminales. Las aplicaciones
falsas utilizadas para extraer datos o ransomware están
ampliamente disponibles, especialmente para el sistema
operativo Android. Tome en cuenta lo siguiente:
• Evite el enmascaramiento de malware como
aplicaciones y actualizaciones legítimas: un número
creciente de aplicaciones falsas están disponibles
en tiendas de aplicaciones de terceros. Además, los
implantes y actualizaciones que explotan aplicaciones
y dispositivos también abundan (como el malware de
criptominería).
• Use WiFi seguro: tenga cuidado con el WiFi gratuito.
Los espacios públicos y tiendas que ofrecen conexiones
WiFi gratuitas son lugares comunes para los ataques
de intermediarios en donde los delincuentes a menudo
transmiten la disponibilidad de servicios WiFi y luego los
utilizan para capturar datos. Cuando use WiFi público, use
conexiones VPN y evite transacciones confidenciales.
5. Ataques a dispositivos IoT
Los dispositivos del IoT también son un vector de ataque
cada vez más popular. Muchos dispositivos IoT son fáciles
de explotar, tienen una conexión a Internet persistente
y utilizan procesadores GPU potentes, lo que los hace
ideales para la criptominería y las vulnerabilidades DDoS.
¿Cómo estar mejor preparado?
• Actualice credenciales: la estrategia de explotación
más común es simplemente intentar conectarse a
un dispositivo IoT utilizando su nombre de usuario y
contraseña predeterminados. Siempre que sea posible,
cambie la contraseña de sus enrutadores, televisores
inteligentes y sistemas de entretenimiento en el hogar.
5
• Sea cuidadoso con los automóviles conectados: a medida que más y más dispositivos se interconectan, se vuelven
vulnerables al ser el eslabón más débil de la cadena. Los dispositivos como los autos conectados no solo son objetivos
atractivos para los atacantes, ya que contienen datos del usuario, información de contacto del teléfono e incluso
información de pago, sino que su compromiso también puede representar un riesgo para los conductores y pasajeros. Al
comprar un automóvil conectado, revise y cambie cuidadosamente sus configuraciones de seguridad predeterminadas y
evite instalar aplicaciones de fuentes desconocidas.

Las estafas cibernéticas pueden afectar a cualquier persona que no esté al tanto de estas señales de
advertencia comunes. A medida que las personas continúan adoptando más y más dispositivos que se
conectan a una red, el riesgo de ser víctima de una estafa solo aumenta. Al conocer las estafas cibernéticas
comunes que se dirigen a las personas hoy en día y reconocer los signos reveladores de esas estafas, puede
proteger su valiosa información y la información de las redes a las que se conecta.

6
 www.fortinet.com

Copyright © 2019 Fortinet, Inc. All rights reserved. Fortinet®, FortiGate®, FortiCare® and FortiGuard®, and certain other marks are registered trademarks of Fortinet, Inc., and other Fortinet names herein may also be registered and/or common law trademarks of Fortinet. All other product or company
names may be trademarks of their respective owners. Performance and other metrics contained herein were attained in internal lab tests under ideal conditions, and actual performance and other results may vary. Network variables, different network environments and other conditions may affect
performance results. Nothing herein represents any binding commitment by Fortinet, and Fortinet disclaims all warranties, whether express or implied, except to the extent Fortinet enters a binding written contract, signed by Fortinet’s General Counsel, with a purchaser that expressly warrants that the
identified product will perform according to certain expressly-identified performance metrics and, in such event, only the specific performance metrics expressly identified in such binding written contract shall be binding on Fortinet. For absolute clarity, any such warranty will be limited to performance in
the same ideal conditions as in Fortinet’s internal lab tests. Fortinet disclaims in full any covenants, representations, and guarantees pursuant hereto, whether express or implied. Fortinet reserves the right to change, modify, transfer, or otherwise revise this publication without notice, and the most current
version of the publication shall be applicable. Fortinet disclaims in full any covenants, representations, and guarantees pursuant hereto, whether express or implied. Fortinet reserves the right to change, modify, transfer, or otherwise revise this publication without notice, and the most current version of the
publication shall be applicable.

358609 -0-0-EN
March 29, 2019 3:33 PM
RegognizeandConvert_ESP