¿Para qué quiere un hacker mi información?

“Soy una persona normal, cuido mis accesos a los servicios públicos y financieros. Tengo una página web donde promociono mi negocio, uso mis cuentas de correo con normalidad, mis computadoras tienen antivirus, y casi no uso redes sociales. Creo que no soy una persona de interés para los hackers, entonces ¿para qué querrían intervenir cualquiera de mis bienes digitales o informáticos?

¡No tengo nada para ellos!”

Esto es lo que podría pensar cualquier persona como nosotros. Es común suponer que los hacker van tras grandes objetivos, como empresas multinacionales o personas famosas. Sin embargo, aún cuando parece que no somos “peces gordos” para un ciber criminal, la realidad es que tal vez ni siquiera les interese nuestro dinero. A manera de un vistazo rápido, en este artículo se enumeran los bienes digitales más comunes y cómo pueden ser explotados por terceras partes, muchas veces sin que podamos percatarnos de ello.

En resumen, ¿Por qué lo hacen?

Información

  • Suplantación de identidad para adquirir bienes, servicios o dinero.
  • Venta de perfiles detallados a terceros.
  • Extorsión mediante la obtención o el secuestro de datos sensibles.

Procesamiento

  • Uso de la infraestructura o dispositivo para enviar spam o efectuar ataques coordinados (DDoS) con otros dispositivos igualmente secuestrados (botnet).
  • Minería de datos o criptomonedas.

Ocio

  • Muchos hackers comienzan probando sus incipientes conocimientos con el único fin de aprender.
  • También suelen hacerlo por mero entretenimiento o curiosidad.

Falta de ética

  • Cuando su objetivo es dañar sin importar si hay una retribución o no.
  • Cuando venden sus conocimientos con fines de sabotaje o espionaje.

A este hacker le interesa mucho de ti, aunque no toque tu dinero.

El phishing es un tipo de actividad criminal que se centra en un grupo específico de usuarios (como por ejemplo adultos mayores) cuyos datos son recopilados y filtrados. Luego el criminal procede a seleccionar víctimas y llevar a cabo acciones cuyo fin es usualmente obtener recursos de la víctima mediante el miedo o el engaño.

El whale phishing, o simplemente whaling, (pesca de ballenas) es un tipo de phishing que se centra en objetivos cuyo perfil resulta atractivo al atacante por su alto valor de retorno, como directivos de empresas o personas con grandes recursos económicos o influencia social.

Pero aunque tu no seas una ‘ballena’, o no pertenezcas a un grupo de interés, igualmente puedes ser objeto de un ataque cibernético. Y es que, aunque no lo creas, tus recursos digitales tienen valor más allá de tus cuentas de banco o tus tarjetas de crédito. Vamos a dar un repaso de cómo un atacante puede aprovecharse de tu información digital.

Correo electrónico

Si un hacker consigue la contraseña de nuestro email, hay muchas cosas que puede intentar o en las que puede estar interesado.

  • Recolección de información – Extraer los datos que hay en la cuenta de correo le puede servir para perfilar quién eres, dónde vives, a qué te dedicas, los servicios contratados, los productos adquiridos, los datos que otros usuarios han compartido contigo. Esto sirve para crear perfiles detallados que luego pueden venderse o usarse para un ataque más dirigido.
  • Envío de correo no deseado – Los típicos correos con asunto “ha recibido una factura”, o “multa inminente” suelen ser enviados desde cuentas comprometidas, y hacia grandes listas de correos obtenidas por robo de información, esto con el fin de continuar recopilando información de más personas y así conseguir más víctimas.
  • Envío de correos electrónicos en nuestro nombre – En este caso, el ataque puede ir dirigido hacia nuestros contactos con la finalidad de que los receptores piensen que se trata de nosotros, y accedan a proporcionar más información, descargar software maligno (malware), o proporcionar recursos a terceras partes cuando la víctima cae en la trampa de pensar que somos nosotros los que lo solicitan.
  • Suplantación de identidad – El hacker puede usar lo que encuentre en la cuenta de correo para extraer suficiente información que cubra los requisitos para contratar servicios, adquirir productos o llevar a cabo acciones en nuestro nombre, como publicar en foros, suscribirse a partidos políticos, mover recursos bancarios, entre otros.
  • Secuestro de cuentas sociales – El hacker puede cambiar el acceso de nuestras cuentas de correo, o usarlas para cambiar el acceso de servicios como redes sociales. Luego puede solicitar un rescate, seguir recopilando información, o seguir haciéndose pasar por nosotros en otras plataformas.
  • Espionaje continuado de nuestra actividad – Si la vulneración de la cuenta de correo continúa, el hacker puede seguir recopilando información tanto de nuestra actividad como la de los contactos con los que mantenemos comunicación.

Página de internet

Un hacker que consigue acceso a una página web corporativa puede llevar a cabo diversas acciones:

  • Cambio del contenido – Desde leves cambios imperceptibles, hasta un defacement (cambio total del contenido), o la eliminación total de la página. Los motivos del hacker pueden ser hacer pasar nuestra página por otra, secuestrar el contenido para pedir rescate, o inclusive por mera diversión.
  • Robo de datos personales de los usuarios – El hacker puede levantar en nuestro sitio web contenido que simula ser, por ejemplo, un banco o un proveedor de servicios telefónicos, y luego presentarle a la víctima interfases para que alimente datos sensibles creyendo que está en una página web legítima. Esto se suele usar junto con el envío de correos que se hacen pasar por organismos auténticos mediante cuentas de correo electrónico comprometidas, como se vio en la sección anterior.
  • Uso de la infraestructura – El hacker puede usar nuestra página web para servir desde la misma código descargable. También puede colocar códigos que usen la potencia de cómputo del servidor para minar criptomonedas.

Dispositivos (computadoras, tablets y celulares)

  • Recolección de información – Como con el correo electrónico, una vez que el hacker tiene acceso a los datos del dispositivo, puede recopilar datos almacenados, enviados y recibidos desde el dispositivo. Esto le servirá para hacerse de posibles víctimas o comenzar un ataque contra el propietario del dispositivo.
  • Envío de spam – Mediante los clientes de correo electrónico instalados en el dispositivo. En los últimos años, el secuestro de redes sociales tiene que ver más con ingeniería social que con fallas en los sistemas.
  • Uso de la potencia de cómputo (máquinas zombies) – Este es el apartado donde la víctima tal vez no tenga una repercusión directa. El hacker instala en el dispositivo de la víctima software con el que puede llevar a cabo acciones sin que la actividad sea evidente. Dichas actividades pueden consistir en envío de spam, difusión de malware, mineria de criptomonedas, ataques remotos de denegación de servicio (DDNS) hacia otras computadoras usando el dispositivo de la víctima, etc.
  • Secuestro de la información – Conocida como ‘ransomware‘, esta actividad hace que la información presente en un dispositivo sea codificada de tal manera que el usuario no puede recuperarla si no es con la contraseña que el hacker le podría proporcionar a cambio de un pago.
  • Extorsión – Existen aplicaciones que solicitan acceso a tus datos sensibles, como por ejemplo la galería de imágenes o el almacenamiento del dispositivo, a cambio de supuestos beneficios, como acceder a un préstamo.

Documentos personales (Recibos de pago, copias de documentos oficiales, hoja de vida o currículum vitae)

  • Recolección de información – Una vez más, el dejar el cualquier lugar el recibo por el pago de un servicio como el teléfono, o compartir un currículum vitae con una empresa con la que nunca hemos tenido contacto antes, o inclusive mandar un documento a imprimir por WhatsApp en un establecimiento, dejan a la deriva nuestros datos.
  • Robo de datos personales.
  • Suplantación de identidad.
  • Venta de información a terceros.

¿Cómo protegerse?

Aunque no te consideres un objetivo de alto perfil, es importante que tomes medidas para proteger tu información.

  • Realiza copias de seguridad regularmente: En caso de un ataque, podrás restaurar tus datos importantes.
  • Mantén actualizados tus dispositivos – Instala las últimas actualizaciones de seguridad para tu sistema operativo, antivirus y aplicaciones.
  • No uses piratería – Siempre hay opciones que resultan más seguras. Pregunta a alguien con experiencia.
  • Utiliza contraseñas fuertes – Crea contraseñas únicas y difíciles de adivinar para cada una de tus cuentas.
  • Desconfía – Evita hacer clic en enlaces o descargar archivos de remitentes desconocidos, sobre todo cuando apelan al sentido de urgencia.
  • Revisa los documentos que compartes – Si es necesario que envíes a terceros copias de tus documentos, como un recibo telefónico, un currículum o copia de una identificación, pídele al tercero que justifique su pedimento. Si te es posible, ten copias digitales que ofusquen los datos sensibles, o no los incluyas si puedes editar el documento. Como ejemplo, en México muchas veces nos piden nuestra constancia de situación fiscal para expedirnos una factura. Dicha constancia, tratándose de una persona física, contiene datos sensibles como nuestro domicilio y fecha de nacimiento, además de que es indebido que te pidan la constancia de situación fiscal para extenderte una factura.
  • Búscate en Internet y haz los ajustes necesarios – Usando un navegador en modo incógnito, haz una búsqueda de tus datos personales, por ejemplo tu nombre completo encerrado entre comillas, o tu número de identificación fiscal, o tu número de seguro social. Probablemente encuentres información tuya regada por ahí. Si son exhibidos desde una red social como Linkedin o Facebook, prueba a ingresar y ajustar los filtros de seguridad.
  • Realiza copias de seguridad regularmente – ¿Ya lo dijimos? Bueno, nunca lo diremos lo suficiente, así que mejor comienza hoy.

Etiquetas de esta entrada:

Ciber Seguridad, Consulta, Tutorial

Akky – Obtener código de autorización de transferencia

Posicionamiento SEO en 2025

Logotipo de Multimedia Efectiva.

Multimedia Efectiva

Diseño de páginas web en Puebla

info@multimediaefectiva.com
222 591 9557