Repercusión de nuestra huella digital en Internet y sus riesgos asociados

Foto de Tracy Le Blanc en Pexels

El estilo de vida de las personas ha sufrido una gran transformación en las últimas décadas. El desarrollo de las nuevas tecnologías ha traído incontables beneficios de los que, en ciertos casos, hemos llegado a ser dependientes.

Las facilidades a la hora de acceder a cualquier tipo de información sin apenas esfuerzo, la conectividad con nuestros seres queridos y la simplificación de determinadas tareas domésticas (como pueden ser los pedidos online), son algunos ejemplos de cómo estos avances han inundado nuestras vidas. No obstante, la principal transformación no puede palparse, pues no tiene lugar en el mundo “físico”; se trata del desarrollo del ciberespacio.

Esta nueva realidad brinda un nuevo entorno de interacciones tanto a nivel individual como social y, al igual que en el mundo físico, nuestra forma de percibirlo e interpretarlo varía de unas personas a otras. Esto da lugar a una serie de comportamientos diferentes para cada uno en las distintas situaciones, los cuales suponen un reflejo de su propia identidad y características individuales.

Por cada interacción, poco a poco vamos dejando un rastro sobre nosotros mismos, es lo que se conoce como huella digital. Este concepto engloba el total de información que se puede obtener de una persona a través de la investigación por internet. Entre ella destacan desde lo que puede parecer una simple foto, hasta datos de carácter privado como el número de teléfono o el DNI.

Es importante tener en cuenta que este espacio no está exento de peligros. A pesar de que el objetivo de estos ataques es muy similar al de los del mundo físico (conseguir dinero o el robo de determinada información), los métodos empleados presentan ciertas diferencias. En la mayor parte de los casos se pretende engañar al usuario aprovechándose de sus vulnerabilidades emocionales y motivacionales mediante las muy sonadas técnicas de ingeniería social.

Foto de Freepik.es

Entender este hecho es de vital importancia para evitar caer en manos de los atacantes. Pero ¿cómo llegan a saber qué tecla pulsar en cada persona?, ¿qué métodos siguen para conseguir su objetivo?, ¿hasta qué nivel puede llegar su sofisticación?

Pues bien, no existe una respuesta unívoca para todas estas preguntas, cada atacante puede optar por un tipo distinto de estrategia. En algunos casos, se genera un único mensaje y se le da una difusión masiva; por estadística, alguien acabará infectándose. Esto es lo que se conoce como phishing. De esta forma, a pesar de que intervienen diversos factores relativos al expertise del usuario, cuanto más contacto tenga con internet, más posibilidades tendrá de cometer un error y caer víctima del engaño.

Esta metodología es de las más antiguas; no obstante, con el paso del tiempo se ha ido perfeccionando hasta dar lugar al sofisticado spear phishing. Esta técnica no se basa en la difusión masiva de mensajes idénticos, sino que se centra en un único objetivo, para el cual se realiza un ataque personalizado. De esta forma, su eficacia crece de forma exponencial, dificultando que el usuario detecte si está o no ante un engaño.

En este caso no destaca tanto la cantidad de horas que pase el usuario navegando por la red, sino su nivel de exposición a internet. Es decir, lo importante es la cantidad de datos que pueden obtenerse de él a través de la web. Conociendo sus principales gustos, motivaciones, movimientos e, incluso, aspiraciones profesionales y puesto de trabajo, puede llegar a elaborarse un mensaje aparentemente veraz.

Aquí es donde la información que publicamos en las redes sociales adquiere relevancia. A través de la foto de alguien que se va de vacaciones podemos obtener varios datos: con quién va y, por tanto, cuáles son sus personas de confianza, su ubicación actual, o que por unos días se ausentará de su puesto de trabajo.

Para entender mejor de qué forma estos datos pueden suponer un riesgo para nuestra seguridad cibernética vamos a contar la historia de Zed. Se trata de una joven que recibió a través de Facebook un mensaje de una amiga lejana.

Foto de Tobias Dziuba en Pexels

Tras saludarse, esta le pidió ayuda, quería que Zed votara por ella en una competición de modelos por internet. Para ello debía inscribirse en la plataforma del concurso; no obstante, hubo un problema. El sistema colapsó y, para poder recuperar las votaciones, Zed tenía que proporcionar a su amiga la contraseña de su cuenta.

Aunque dudó bastante, acabó dándosela ya que, en caso de no hacerlo, podría haber puesto en peligro la carrera de su amiga. En este momento, sus cuentas fueron hackeadas. Zed había sido víctima de un ataque de spear phishing: su “amiga” no era quien decía ser, sino un atacante malicioso desconocido.

Esta persona rápidamente pudo acceder a una gran cantidad información confidencial, entre la que se encontraba su pasaporte, sus datos bancarios y ciertas fotos íntimas. Además, también cambió las contraseñas y activó la verificación en dos pasos.

Es decir, Zed no solo había sufrido un ataque a la confidencialidad de sus datos al haber accedido a ellos una persona no autorizada, sino que también su disponibilidad se había visto perjudicada, pues por mucho que lo intentara no podía acceder a su cuenta.

Pero ¿cómo había podido pasar? Zed realmente tenía una amiga con ese nombre y perfil de Facebook. Además, ¿por qué a ella? Está claro que no se trata de un ataque anónimo al uso en el que la identidad de la víctima no es relevante.

Al poco tiempo, Zed recibió una llamada, se trataba de un chico joven que le acusaba de haber llevado una “vida inmoral”. Por sus publicaciones en redes sociales, se podía ver que era una joven muy activa respecto a sus relaciones afectivas, además de presentar ciertos vicios, como el tabaco.

Después de afirmar que se sentía bien por haberla hackeado porque “lo merecía” amenazó con publicar todo el contenido explícito en sus redes a menos que Zed le sedujera por videollamada. Dado que se negó, así lo hizo.

El atacante no solo había obtenido información sobre el estilo de vida de Zed, sino también sobre sus contactos y posibles personas de confianza. Con la información obtenida también pudo elaborar la mejor estrategia para aumentar las probabilidades de que Zed accediera a sus peticiones iniciales: ayudar a una vieja amiga.

En este caso, el mayor error fue darle su contraseña. No obstante, en otra situación, el enlace inicialmente proporcionado podría haber infectado directamente el equipo desde el cual se intentase acceder, robando o secuestrando toda la información almacenada en él. Esto no solo daría lugar a consecuencias negativas a nivel personal, sino también laboral en caso de que se abriera desde el ordenador del trabajo, lo cual es bastante frecuente.

Los motivos que guían a los atacantes para cometer actos de este tipo son diversos. La búsqueda de un beneficio económico, moral o personal, así como obtener cierta información secreta son algunos ejemplos. Por este motivo, debemos prestar atención a nuestra huella digital y ser conscientes de cuál puede ser nuestra mayor vulnerabilidad.

Gracias a la identificación de las áreas a fortalecer, Kymatio ayuda a prevenir este tipo de incidentes, proporcionando a cada empleado un refuerzo individualizado que ensalce su estado de alerta.