Luis es el dueño de una pequeña tienda online que gestiona desde su oficina de Sevilla junto su gran equipo de media docena de empleados. Desde que acudió a varias charlas, Luis está muy concienciado con la ciberseguridad en su empresa. Por eso, es meticuloso e intenta implementar las medidas de seguridad adecuadas a su negocio que le ayuden a permanecer a salvo de los peligros de la red.

Cierto día, recibió una llamada telefónica de una persona que decía ser de Microsoft en Londres. El interlocutor, en un inglés con incorrecciones y con un tono bastante amenazante, le explicó que habían recibido numerosos informes de los equipos de la empresa con errores y advertencias de seguridad, indicándole que esos equipos estaban en peligro y se podrían bloquear, por lo que podría afectar a su trabajo.

Esta situación hizo sospechar a Luis, pues en las charlas sobre ciberseguridad que había acudido recientemente, había oído hablar sobre casos parecidos de ciberdelincuentes que llamaban a las empresas para hacerse pasar por bancos, compañías energéticas, etc. para engañar a sus víctimas pidiéndoles datos personales o bancarios.

Así que le pidió al operador que identificase los equipos afectados y también como había vinculado la IP  de sus equipos con su número de teléfono. A lo que el operador le contestó con evasivas y subiendo el tono amenazante. Tras amenazarle con el bloqueo de sus equipos y de la actividad de su empresa, finalmente colgó.

¿Qué fue realmente lo que pasó?

Este caso es conocido como el «falso soporte técnico de Microsoft». Se trata de un timo, donde el ciberdelincuente se hace pasar por un técnico de esta compañía. Llama a diferentes empresas para intentar conseguir datos de estas o controlar sus equipos informáticos. Para conseguir su objetivo se presenta ofreciendo su ayuda para solucionar un «supuesto» problema con el equipo. También suelen pedir dinero por solucionar el problema o devolver el control del mismo.

Este tipo de técnicas utilizadas en este tipo de timos se conocen como ingeniería social. Los ciberdelincuentes utilizan la persuasión y el engaño, valiéndose de la buena voluntad y la falta de precaución de las víctimas para sacar provecho. Su objetivo es obtener información confidencial de la empresa o manipular a la víctima para que realice alguna acción que ponga en riesgo los equipos y la información.

¿Qué pudo haber pasado?

En este caso no ocurrió nada grave, pero en caso de haber continuado con la conversación y seguido las instrucciones del ciberdelincuente, los daños podrían haber sido ser muy graves. Los ciberdelincuentes se ganan la confianza de las víctimas, ofreciéndose a solucionar el problema, pidiéndole las credenciales de acceso al equipo o la instalación de herramientas de control remoto para poder conectarse y solucionar el problema. Una vez hecho esto, el equipo y la información confidencial que contiene son vulnerables. Con los datos aportados y el control del equipo, pueden: secuestrar el ordenador y pedir rescate para su liberación, hasta robar datos o realizar transacciones económicas si les hemos dado los datos bancarios o los almacenamos de forma predeterminada en el equipo.

¿Qué hacer si nos sucede esto?

Debemos seguir el ejemplo de Luis y cortar la comunicación en cuanto sospechemos que se pueda tratar de un timo. Es importante recordar, si nos ha engañado, qué tipo de datos les hemos proporcionado para poder prevenir un uso fraudulento de los mismos. Si hemos dado datos o nos han hecho instalar programas que puedan servir para controlar el ordenador, debemos desconectarlo inmediatamente de la red hasta que nuestro servicio informático verifique que no hay riesgo.

Es algo fundamental que los empleados sepan que siempre han de desconfiar de cualquier comunicación como llamadas telefónicas o correos electrónicos que nos demanden información personal o empresarial  confidencial. Las empresas de servicios como bancos, compañías energéticas, etc. nunca se ponen en contacto con sus clientes para pedirles datos confidenciales.

La mejor arma contra la ingeniería social es crear una cultura de seguridad,  concienciando y formando a todos los miembros de la empresa sobre cómo identificarlos y cómo actuar en estos casos. Para ayudar a formar a los empleados y fomentar los buenos hábitos de ciberseguridad en la empresa, Incibe pone a disposición de todos los empresarios su kit de concienciación o el curso online de ciberseguridad para micropymes y autónomos.

Completando las buenas prácticas destinadas a concienciar y formar al personal en materia de seguridad, existen algunas medidas específicas para este tipo de ataques de ingeniería social:

  • Verificar y comprobar la identidad de la persona que está al otro lado del teléfono.
  • Nunca facilitar datos confidenciales por teléfono.
  • Estar atentos y desconfiar de ciertos signos como el tono del mensaje (adulándonos, con urgencia, etc.), su supuesto origen (autoridad, superiores, etc).
  • Crear políticas de seguridad que fomenten la ciberseguridad en la empresa.

Afortunadamente, Luis estaba concienciado con la ciberseguridad de su empresa y supo identificar a tiempo la amenaza. Pero, ¿y si esto le hubiese pasado a alguno de sus empleados? Esto le hizo reflexionar. Decidió diseñar un plan de formación y concienciación para sus empleados con el fin de que sean conscientes de este tipo de amenazas y eviten situaciones como la que le había ocurrido. Porque se ha dado cuenta de que la principal forma de protegerse de estos fraudes es la concienciación y formación de todo el equipo de trabajo.

Fuente: https://www.incibe.es/protege-tu-empresa/blog/historias-reales-el-timo-del-falso-soporte-tecnico