El baiting es la acción por la que el atacante utiliza un cebo para engañar a la víctima, incitándole a realizar un acto que le permita obtener información confidencial que la persona afectada por este no habría facilitado voluntariamente.
Un ejemplo de baiting:
Una unidad de USB infectada con un programa maligno es abandonada en el baño de mi empresa con el título de “despidos inminentes” o “confidencial” para despertar la curiosidad de la víctima. En este caso, es muy probable que el empleado que se lo encuentre vaya rápidamente a introducirlo a su ordenador para confirmar la información, facilitando así al atacante introducir el malware en el sistema informático de la empresa y acceder a información sensible
A diferencia del phishing, en el que el atacante consigue la información en el momento que la víctima pica el anzuelo, en el baiting, el agresor deja el cebo que atrae a la víctima hacia la trampa.
¿Cómo nos podemos dar cuenta de que estamos sufriendo este ataque?
Si pensamos en el ejemplo que hemos puesto antes como caso, se descubriría un timo cuando la víctima conecta la unidad USB a su dispositivo para satisfacer su curiosidad y comprueba, perpleja, que no contiene ningún tipo de información cuando hace click en el enlace para conseguir una descarga gratuita y esta no tiene lugar.
En otras ocasiones, los atacantes realizan ofertas tentadoras a través de las redes sociales, correos, acceso gratuito a música, juegos, películas y la víctima descubre el timo cuando comprueba que pase a haber facilitado sus datos al registrarse o haber pinchado en el enlace, lamentablemente todo es mentira.
Podemos sospechar que hemos sido víctimas de un ataque a nuestros sistemas de información cuando empiezan a abrirse múltiples ventanas emergentes con publicidad cuando antes no las había, o el antivirus avisa de la presencia de troyanos y aumenta la actividad de los archivos sospechosos.
¿Qué no debemos hacer?
No descargar archivos, hacer click en enlaces, ni interactuar con quien nos envía mensajes de dudosa procedencia.
Siempre que recibamos un enlace, el vínculo tiene que coincidir con el dominio al que nos va a redirigir el enlace. Además, es importante comprobar que el dominio esté escrito de forma correcta sin ningún tipo de error tipográfico ya que este nos puede llevar a un lugar no deseado.
Para evitar estas situaciones, también es recomendable que expertos informáticos lo estudien previamente para evitar infectar los quipos informáticos con malwares.
¿Qué debemos hacer una vez tengamos infectados nuestros dispositivos?
Lo mejor es ponerse cuanto antes en manos de un experto en ciberseguridad que pueda definir la mejor estrategia, y limpiar nuestros equipos de los virus eliminando el malware e instalando medidas de prevención que eviten con rapidez y eficacia nuevos ataques futuros.
Si el baiting afecta a cuentas bancarias, ¿quién se tiene que hacer cargo de las pérdidas?
Con carácter general, la normativa sobre servicios de pago viene a decir que cuando un cliente bancario niegue haber autorizado una operación de pago ya ejecutada o alegue que esta se ejecutó de manera incorrecta, corresponde a la entidad demostrar que el usuario del servicio cometió un fraude o una negligencia grave para omitir la devolución al cliente del cargo no autorizado.
Por otro lado, la entidad conservará la documentación y los registros que le permitan acreditar el cumplimiento de las obligaciones establecidas y las facilitará al usuario en caso de que así sea solicitado, durante al menos, seis años.
Además de que la entidad tiene la obligación legal de adoptar las medidas de seguridad pertinentes para evitar todo tipo de fraudes, no es menos cierto que los clientes también tienen la obligación de custodiar sus credenciales y en el caso que nos ocupa, deberían evitar la conexión de dispositivos de almacenamiento externo cuya procedencia sea desconocida por mera curiosidad, ya que dicha actuación, podría llegar a interpretarse como una negligencia del usuario.
Araceli Durán | Abogada de Legálitas.
