Combate la ingeniería social, el nuevo «cuento del tío»
Según un estudio de Appdome, la gran mayoría de los consumidores mundiales (82%) cree que las empresas deberían prevenir proactivamente el fraude móvil antes de que ocurra, en lugar de reembolsarlos después de que se produzca.
La ingeniería social, en términos sencillos, es el acto de engañar a las personas para obtener información confidencial o realizar acciones perjudiciales. Los ciberdelincuentes actúan de forma sutil y persuasiva a través de aplicaciones móviles, explotando la confianza de los usuarios, ya sea a través del acceso remoto a sistemas operativos, la derivación de FaceID, la instalación de aplicaciones maliciosas, el intercambio de SIM o incluso el Vishing (llamadas de voz fraudulentas) para engañar a las personas y obtener información valiosa.
Según Porplusec, el 98% de los ciberataques comienzan con ingeniería social. «Este tipo de fraudes por un lado afectan a las empresas que sufren perjuicios económicos, multas y un gran daño a la imagen y fiabilidad de la marca. Pero es necesario pensar en el consumidor, ya que las personas afectadas por la estafa también sufren grandes pérdidas económicas», explica Tom Tovar, CEO y cofundador de Appdome, compañía experta en la defensa de las aplicaciones móviles.
En este sentido, el informe de Expectativa de Consumo de Appdome 2023 remarcó que el 74% de los usuarios dejaría de utilizar una aplicación móvil si sufriera una filtración.
Vishing: un fraude que crece a través de llamadas telefónicas
Imaginemos que una abuela está comprando en la aplicación móvil de su tienda de ropa favorita y recibe una llamada de una persona malintencionada que se hace pasar por un empleado de ese comercio, convenciéndola de que se descargue otra aplicación, exclusiva para clientes fieles. Al descargar una aplicación móvil falsa o compartir datos sensibles con el estafador, acaba de caer en un ataque de vishing.
A través de estos ataques de voz, los delincuentes utilizan llamadas telefónicas para engañar a las víctimas. Esta táctica engañosa suele consistir en mensajes convincentes, como falsas alertas de entidades financieras, comercios o empresas de renombre, que inducen a las personas a compartir información sensible, como contraseñas y datos bancarios, por teléfono, con la posibilidad de robar información personal y dinero. O los atacantes consiguen que el usuario del móvil instale otras aplicaciones maliciosas que pueden robar su identidad, tarjetas de crédito o dinero.
La relevancia de este tipo de ataques para la población es significativa, ya que cualquier persona con un teléfono móvil puede ser el objetivo. Sin los conocimientos ni la formación adecuados, es factible que cualquier persona caiga en la trampa del Vishing.
¿Cómo combatir este tipo de fraudes?
De acuerdo con la investigación de Appdome, la gran mayoría de los consumidores mundiales (82%) cree que las empresas deberían prevenir proactivamente el fraude móvil antes de que ocurra, en lugar de reembolsarlos después de que se produzca.
“En un mundo en el que las interacciones en línea están cada vez más integradas en la vida cotidiana, proteger las aplicaciones móviles no es sólo una cuestión técnica. Sigue siendo una necesidad tangible para la seguridad de todos nosotros en el universo digital», apuntó Tovar.
Antes del lanzamiento del servicio Social Engineering Prevention, los ataques de ingeniería social sólo se descubrían cuando ya se habían producido con éxito, lo que dejaba tanto a las empresas como a los usuarios con pérdidas financieras, de reputación y emocionales durante un largo periodo.
Mediante las nuevas herramientas de seguridad, al utilizar una aplicación, si el usuario recibe una llamada sospechosa, aparecerá un mensaje de alerta en la aplicación, personalizado por la propia empresa, del tipo «¿Estás bien? Hemos detectado una llamada sospechosa» o, como suelen notificar los bancos, «hemos detectado un hecho inusual. Recuerda que nunca te llamaremos para pedirte tu contraseña».
El objetivo es sacar al usuario de este ciclo de presión y coacción emocional. Y que la persona pueda darse cuenta del fraude, cortar la conexión y detener el ataque.