9b. Papá Cibernauta compra un reloj

En este caso práctico presentado por la Oficina de Seguridad del Internauta (OSI), se analiza cómo los ciberdelincuentes utilizan la psicología y el engaño para vulnerar nuestra seguridad digital. La historia de "Papá Cibernauta" es un ejemplo perfecto de que, en la informática, el eslabón más débil suele ser el factor humano.

​

9a. Ingeniería social

1-Bajo este término se engloban todas aquellas conductas, técnicas o trucos que emplean los ciberdelincuentes con el fin de ganarse la confianza del usuario y conseguir así que haga algo bajo su manipulación y engaño, como puede ser ejecutar un programa malicioso, facilitar sus claves privadas o comprar en sitios web fraudulentos que puedan comprometer sus dispositivos.

​2. Cita tres medios que pueden ser utilizados por la ingeniería social para un ataque.

​                -Correo electrónico (Phishing).

                ​-Llamadas telefónicas (Vishing).

​                -Mensajes de texto o SMS (Smishing).

​3. ¿Qué dos características tiene el mensaje que nos lanzan a través de los medios de la pregunta anterior?​

Suelen suplantar la identidad de una entidad o persona de confianza (bancos, mensajería, etc.).
​Utilizan un lenguaje que transmite sentido de urgencia o miedo para que la víctima no se pare a pensar.

8. Guía para configurar el móvil

Tras analizar las recomendaciones de seguridad para dispositivos Android, he seleccionado los siguientes tres asuntos como los más fundamentales para proteger nuestra privacidad y datos personales:

​1. Establecimiento de bloqueos seguros y doble factor de autenticación

​Es el primer paso esencial para que nadie use el móvil sin permiso. La guía recomienda utilizar métodos como el PIN, contraseñas alfanuméricas, patrones complejos o biometría (huella dactilar y reconocimiento facial). Además, es vital activar el doble factor de autenticación en la cuenta de Google; esto añade una capa extra de seguridad que impide el acceso aunque alguien consiga tu contraseña.

​2. Copias de seguridad y cifrado de la información

​Para evitar la pérdida de datos ante robos, pérdidas o averías, se debe configurar la copia de seguridad en la nube de Google (Google Drive). Igualmente, la guía destaca la importancia del cifrado de datos, que viene activado por defecto en versiones modernas pero debe verificarse. El cifrado asegura que la información sea ilegible para terceros sin la clave de desbloqueo, incluso si se intenta extraer físicamente del dispositivo.

​3. Localización y gestión remota del dispositivo

​En caso de pérdida o robo, es fundamental tener activada la herramienta "Encontrar mi dispositivo". Esta función permite localizar el terminal en un mapa desde cualquier navegador web, hacerlo sonar a distancia o, en el peor de los casos, realizar un borrado remoto de toda la información para que no caiga en manos ajenas. Para que funcione, el GPS debe estar activado y el móvil vinculado a una cuenta de Google activa.

8c. 5 consejos básicos

Mantener nuestro smartphone seguro es fundamental, ya que en él guardamos gran parte de nuestra vida personal y profesional. Siguiendo estas cinco recomendaciones básicas de la Oficina de Seguridad del Internauta (OSI) e INCIBE, podemos proteger mucho mejor nuestra información:

​1. Protege el acceso a tu dispositivo

​El primer paso es utilizar mecanismos de desbloqueo seguros y contraseñas robustas.

      ​-En Android: Puedes configurarlo en Ajustes > Seguridad y Ubicación > Bloqueo de pantalla. Permite usar PIN, contraseña alfanumérica, patrón, huella dactilar o reconocimiento facial.

​     -En iOS: Se configura desde Ajustes > Touch ID/Face ID y código. Soporta PIN, huella dactilar y reconocimiento facial.

​2. Comprueba que tu dispositivo está actualizado

​Mantener el sistema operativo al día garantiza tener los últimos parches de seguridad.​

     - Android: Ajustes > Sistema > Ajustes avanzados > Actualización del sistema.

​     -iOS: Ajustes > General > Actualización de software > Descargar e instalar.

​3. Haz copias de seguridad y cifra tu dispositivo

​Salvaguardar tu información es vital en caso de pérdida o robo.​

      -Copia de seguridad: En Android se realiza a través de la cuenta de Google, y en iOS       mediante iCloud.

      ​-Cifrado: Por lo general, viene activado por defecto en ambos sistemas, aunque en Android se puede cifrar adicionalmente la tarjeta SD desde los ajustes de seguridad.

​4. Descarga e instala aplicaciones de forma segura

​Utiliza siempre tiendas oficiales como Play Store o App Store para evitar software malicioso. Además, es crucial revisar los permisos que otorgas:

​      -Android: Revisa en Ajustes > Aplicaciones y selecciona la app para gestionar sus permisos.

​     -iOS: En Ajustes encontrarás la lista de aplicaciones instaladas para activar o desactivar sus permisos individualmente.

​5. Activa la verificación en dos pasos

​Añade una capa extra de seguridad a tus cuentas principales para que no baste solo con tu contraseña.​

     -Cuenta de Google: Ajustes > Google > Gestionar tu cuenta de Google > Seguridad > Verificación en dos pasos.

​    -Apple ID (iOS): Ajustes > [tu nombre] > Contraseña y seguridad > Activar autenticación de doble factor.

8b. El juego de los permisos

 

​En la aplicación Music App, sería correcto rechazar el permiso de ubicación geográfica porque para reproducir archivos de audio no es necesario que la aplicación sepa dónde me encuentro físicamente, lo cual protege mi privacidad.

​En la aplicación TRANS_Later, sería correcto rechazar el permiso de realizar y gestionar llamadas telefónicas porque un traductor solo requiere acceso al texto o al micrófono, y tener control sobre las llamadas es un riesgo innecesario que podría ocultar funciones maliciosas.

​En la aplicación LinternApp, sería correcto rechazar el permiso de acceso a la lista de contactos porque la función de linterna solo requiere activar el LED de la cámara, y acceder a mis contactos es una intrusión excesiva de datos personales típica de aplicaciones espía.

​En la aplicación Confi-Bank, sería correcto aceptar el permiso de notificaciones porque es fundamental para recibir avisos de seguridad inmediatos sobre compras, transferencias o intentos de acceso no autorizados a mi cuenta bancaria.

​En la aplicación Play&Crush, sería correcto aceptar el permiso de almacenamiento porque el juego necesita este permiso para poder guardar el progreso de mis partidas, las puntuaciones y los archivos multimedia necesarios para que funcione el juego.

8a. Estafa por WhatsApp

 

​1-Primer párrafo: ¿A la mujer del aeropuerto, por qué no le funciona el WhatsApp? ¿Ha cometido algún error? 

No le funciona porque una amiga le había pedido un código para verificar su cuenta y, al dárselo, el usurpador tomó el control de su aplicación. Sí, cometió el error de proporcionar un código de verificación privado a un tercero, sin saber que en realidad era un estafador que había robado la cuenta de su amiga.


​2-Segundo párrafo: ¿De parte de quién parecía que venía el whatsapp recibido pidiendo el código? ¿De quién venía en realidad? ¿Qué había hecho previamente ese usurpador? ¿Qué hace el usurpador una vez que ha recibido el código?

 Parecía que venía de una amiga de la víctima. En realidad, venía de un usurpador que le había robado la cuenta a dicha amiga. Previamente, el usurpador había logrado acceder a la cuenta de la amiga y, una vez que recibe el código de la nueva víctima, toma el control de su WhatsApp para escribir a docenas de sus contactos y pedirles dinero.


​3-Párrafos 3, 4, 5 y 6: ¿Qué era lo más sorprendente del asunto? ¿Se utilizaba una IA (Inteligencia Artificial) o se hace de otra forma?

 Lo más sorprendente es que el usurpador utilizaba palabras y expresiones personales de la víctima, como "amore" y "nena", para generar confianza. Aunque algunos pensaron que podría ser una IA por la precisión de los mensajes, en realidad se hace de forma manual: el atacante lee los chats anteriores para copiar el estilo de escritura y luego pega los mensajes desde un bloc de notas.

​4-Párrafo 7: ¿Hay algún truco o consejo para evitar picar en este tipo de trampa?

 El consejo principal es tener una "palabra clave" o código secreto que solo conozcan las dos personas, o preguntar algo muy específico que solo el verdadero contacto sepa responder, como "¿dónde fuimos de vacaciones el año pasado?". También se recomienda pedir un audio para confirmar la identidad.

​5-Según el párrafo 8, el usurpador, antes, había accedido al WhatsApp de una amiga de la mujer del aeropuerto, algo que no parece difícil con las técnicas de los ciberdelincuentes. Pero en el párrafo siguiente "cómo puede robarse una cuenta de WhatsApp" dice que para registrarse hace falta.... un código de seis cifras que el usuario recibe en su número de teléfono. Los criminales obtienen este código mediante ingeniería social (engañando al usuario para que se lo dé) o incluso hackeando el buzón de voz si el código se envía mediante una llamada automática.

​6-Entonces, como conclusión: ¿Qué harías si alguien, incluso un "amigo" o "conocido" te pide que le pases un código de números que te acaba de llegar al móvil y que necesita "para verificar nosequé"? Escríbelo en mayúsculas y comienza la frase por SI ALGUIEN ME PIDE QUE...

 SI ALGUIEN ME PIDE QUE LE PASE UN CÓDIGO DE VERIFICACIÓN QUE HA LLEGADO A MI MÓVIL, NUNCA SE LO DARÉ, YA QUE ES LA LLAVE PARA ROBAR MI CUENTA Y SUPLANTAR MI IDENTIDAD.

7. Seguridad en Internet

1. Según la Guardia Civil ¿qué deberías hacer si suplantan tu perfil en facebook?

​Debes denunciar la suplantación directamente a los responsables de la red social para que eliminen el perfil falso. Además, es fundamental recopilar pruebas (capturas de pantalla) y, si el caso es grave o implica otros delitos, acudir a la Guardia Civil para interponer una denuncia formal.


​2. ¿Qué consejo te da tuenti sobre la contraseña?

El consejo principal es que la contraseña debe ser secreta, robusta y difícil de adivinar. No se debe compartir con nadie, ni siquiera con amigos, y es recomendable combinar letras, números y símbolos para que nadie pueda apropiarse de tu identidad.