En el timo del «bating» el delincuente atrae a la víctima a la trampa con un cebo que despierta su curiosidad
30 jul 2023 . Actualizado a las 10:22 h.Araceli Durán, abogada de Legálitas, nos adentra en el mundo del timo del baiting, en el que la imprudencia y la curiosidad se dan la mano.
—¿Qué es el «baiting»? Es la acción por la que el atacante utiliza un cebo para engañar a la víctima, haciéndole creer que obtendrá un beneficio o jugando con su curiosidad, le incita a realizar un acto que permita al atacante obtener información confidencial que la víctima voluntariamente no habría facilitado. Pensemos por ejemplo en una unidad USB infectada con un programa maligno y abandonada en el baño de mi empresa con el título «Despidos inminentes» o «Confidencial» para despertar la curiosidad de la víctima. Es muy probable que el empleado que se lo encuentre vaya rápidamente a introducirlo en su ordenador para confirmar la información, facilitando al atacante introducir un malware en el sistema informático de la empresa y acceder a información sensible.
En el phishing, el atacante consigue la información en el momento en que la víctima pica en anzuelo. Por el contrario en el bating el agresor deja el cebo que atrae a la víctima hacia la trampa.
—¿Qué se debe de hacer para no caer en la trampa? Si nos encontramos cualquier tipo de sistema de almacenamiento de datos, lo más recomendable es no cogerlo si no conocemos su procedencia. Tampoco interactuar con quien nos envía mensajes de dudosa procedencia. En el caso de conocer de dónde procede el dispositivo, es recomendable que expertos informáticos previamente lo estudien para evitar infectar los equipos informáticos con malwares. Siempre que recibamos un enlace, el vínculo tiene que coincidir con el dominio al que nos va a redirigir el enlace y es importante también comprobar que el dominio esté escrito de forma correcta, sin ningún tipo de error, como un aparente fallo tipográfico sin importancia que nos lleve a un lugar no deseado.
—¿Cómo se suelde descubrir el usuario del timo? Pensemos en nuestro ejemplo: se descubrirá el timo cuando la víctima conecta la unidad USB a su dispositivo para satisfacer su curiosidad y comprueba perpleja, que no contiene ningún tipo de información, cuando pincha en el enlace para conseguir una descarga gratuita y esta no tiene lugar o cuando no llega nunca el ansiado premio. En otras ocasiones los atacantes realizan ofertas tentadoras a través de las redes sociales, correos, acceso gratuito a música, juegos, películas y la víctima descubre el timo cuando comprueba que pese a haber facilitado sus datos al registrarse o haber pinchado en el enlace, lamentablemente todo es mentira.
Podemos sospechar que hemos sido víctimas de un ataque a nuestros sistemas de información cuando empiezan a abrirse múltiples ventanas emergentes con publicidad cuando antes no las había, o el antivirus avisa de la presencia de troyanos, aumenta la actividad de archivos sospechosos.
—Una vez infectados los dispositivos, ¿qué se debe de hacer? Si ya hemos sufrido un ataque informático debemos reportar de inmediato cualquier anomalía a los responsables de la empresa para que puedan eliminar el daño con la mayor urgencia —ante el grave riesgo reputacional para la compañía— y lo mejor es ponerse cuanto antes en manos de un experto en ciberseguirdad que pueda definir la mejor estrategia y limpiar nuestros equipos de los virus eliminando el malware e instalando medidas de prevención que eviten con rapidez y eficacia nuevos ataques.
—El «baiting» afecta más a empresas o a particulares? A ambos. Nadie está exento de caer en estas trampas. Donde sí podemos encontrar más diferencias es en la gravedad, en este caso en perjuicio de las empresas.
—Si el «baiting» le afecta a las cuentas bancarias de una persona, ¿es el banco el que se tiene que hacer cargo de las pérdidas? Habría que analizar cada caso en concreto para valorar cómo se han producido los hechos, no obstante, con carácter general viene a decir la normativa sobre servicios de pago que cuando un cliente bancario niegue haber autorizado una operación ya ejecutada o alegue que esta se ejecutó de manera incorrecta, corresponde a la entidad demostrar que dicha operación fue autenticada, registrada con exactitud y contabilizada, y que no se vio afectada por un fallo técnico u otra deficiencia del servicio del que es responsable, correspondiendo a la entidad demostrar que el usuario del servicio cometió fraude o una negligencia grave, para omitir la devolución al cliente del cargo no autorizado. El banco conservará la documentación y los registros que le permitan acreditar el cumplimiento de las obligaciones establecidas y las facilitará al usuario en el caso de que así le sea solicitado, durante, al menos, seis años.
Además de que la entidad tiene la obligación legal de adoptar las medidas de seguridad pertinentes para evitar todo tipo de fraudes, no es menos cierto que los clientes también han de custodiar sus credenciales y en el caso que nos ocupa, deberían evitar la conexión de dispositivos de almacenamiento externo cuya procedencia sea desconocida por mera curiosidad, ya que dicha actuación, podría llegar a interpretarse como una negligencia del usuario.