El concepto de ingeniería social ha estado rondando la cultura cibernética desde los años setenta y, sin embargo, el número de personas que caen víctimas del ingeniero social de turno no deja de aumentar. Si quieres descubrir qué es ingeniería social y qué hace un ingeniero de ciberseguridad para contrarrestarlo, sigue leyendo.
Tecnología móvil:
Qué es, desarrollo, usos y tipos de tecnología celular actual
¿Qué es la ingeniería social?
La ingeniería social en seguridad informática es el nombre que reciben todas las estrategias y herramientas utilizadas por los ciberatacantes para engañar a los usuarios, en busca de sus datos personales, cuentas bancarias e información estratégica (sinónimo de confidencial).
Una de las características más terribles de la ingeniería social es que evoluciona de manera constante, por lo que siempre se corre el riesgo de caer en ella. Este término llega a ser bastante amplio y los métodos más sofisticados pueden incluir el contacto directo del criminal con la víctima.
¿Cuál es el objetivo de la ingeniería social?
La ingeniería social busca romper un sistema informático a través de su eslabón más débil: el ser humano. Por esta razón, los especialistas en estas prácticas cuestionables buscan engañarlos para que de manera voluntaria, involuntaria o inconsciente entreguen sus datos personales o den acceso a sus dispositivos.
Un mal común del que nadie habla
Debido a que la tecnología avanza rápidamente, a los usuarios les cuesta mantenerse al día con las últimas novedades de los sistemas de información. Es precisamente esta falta de conocimiento de la que se aprovechan los hackers para apropiarse de los datos de los usuarios. Otro problema que facilita la proliferación de estas estrategias es que a muchas personas les da vergüenza hablar de ello.
A nadie le gustaría admitir que, por un momento, se creyó algo sobre ese reembolso sorpresa que le llegó al buzón, que era el visitante número un millón o que consiguió una herencia que resultó en una estafa. Es clave entender que no importa cuan inteligente sea o crea ser el usuario, los ataques de ingeniería social están diseñados para engañar. Conviene estar siempre atento.
Los peligros a los que le expone la ingeniería social
Puede que pequeñas estafas por la red no parezcan la gran cosa, pero la realidad es que la ingeniería social en ciberseguridad se considera un elemento de amenaza pública, en cuanto puede:
- Robar todos los ahorros de una cuenta bancaria en minutos.
- Robar fotos y videos íntimos del ordenador.
- Iniciar estafas que se prolonguen por meses.
- Entrar a los sistemas empresariales y fingir robos en su nombre.
- Plantar evidencias de delitos.
- Usar su ordenador sin que lo sepa para facilitar actividades ilegales.
- Usar su propio correo para robar a sus familiares y conocidos.
- Engañarle para que envíe dinero a una causa legitima que resulta ser una estafa.
Tipos de ingeniería social
Las técnicas implementadas en ingeniería social son muchas y todas tienen el objetivo de engañar de alguna manera a los usuarios. Veamos las más comunes y efectivas:
Phishing
El phishing es una de las estrategias más efectivas dentro de ingeniería social en internet porque los atacantes usurpan una identidad de confianza para el usuario como su banco, un proveedor de internet, marca de telefónica o red social. Esta estrategia se suele dar a través de correos que son perfectamente idénticos a los de una entidad legítima.
Cuando el usuario accede a cualquier enlace sugerido, llega a un sitio trampa, idéntico al sitio oficial. Cuando el usuario introduce sus datos o vincula su cuenta ha sido robado.
El phishing en seguridad social, está enormemente extendido, siendo, además, uno de los mejores ejemplos de ingeniería social inversa. Es decir, donde el usuario va hacia el atacante.
Vishing
El vishing es una técnica de suplantación, antigua, pero sorprendentemente efectiva en donde los estafadores se hacen pasar por el equipo técnico del proveedor de red, cable de TV o cualquier otro mediante llamadas telefónicas.
Hacen contactos masivos al azar en busca de víctimas desprevenidas, ancianos, niños, adolescentes, jóvenes y cualquier otro inocente.
Mediante un tono de voz estudiado y argumentos muy convincentes conducen a los usuarios a ofrecerles los datos de su conexión o a instalar software malicioso.
Baiting
El baiting es una estrategia que consiste en dejar dispositivos de lectura en zonas públicas como bares, restaurantes, hospitales, plazas y parques. Las memorias USB, discos duros externos y unidades de CD/DVD tienen incrustados virus informáticos bastante sofisticados que se implantan en los ordenadores, con solo conectarlos, sin que los usuarios lo noten.
Whaling
El whaling es una estrategia de ingeniería social rara, costosa de producir y usualmente difícil de hacer funcionar, pero que genera grandes dividendos, puesto que apunta a objetivos de alto perfil.
Los atacantes estudian por meses a sus objetivos, gerentes de grandes empresas o líderes de marca.
Luego envían cebos (como enlaces maliciosos) ricos en información personal para provocar una sensación de urgencia en las víctimas quienes dejan datos de alto valor a merced de los atacantes.
Scareware
El scareware es una estrategia basada en ingeniería social y psicología que consiste en enviar ventanas emergentes a los usuarios con mensajes de alarma como que han sido contaminados de virus, que su dirección IP está siendo espiada, que su cámara está transmitiendo o que alguien está en su pc sin que lo note.
Para “solucionarlo” ofrecen un software de seguridad fraudulento que resulta ser un virus o facilita el robo.
Smishing
El smishing es una técnica de engaño que usa como medio un mensaje de texto, haciéndose pasar por la compañía telefónica, el banco o un familiar.
Usualmente, comparten un enlace para que el usuario pueda seguir o dejan un número de teléfono donde los estafadores esperan preparados para engañarle y robar su información.
Pretexting
A través del pretexting los ciberatacantes montan un escenario conveniente o crean excusas creíbles, para que los usuarios realicen acciones que normalmente no harían.
Estos atacantes pueden disfrazarse de policías, llamar como autoridades de inmigración o fingir ser técnicos del proveedor de internet, con la intención de solicitar acceso al hogar, a los datos personales y a los dispositivos.
El punto clave es crear en la cabeza de la víctima la idea de que el solicitante de información tiene “derecho” a preguntar.
Algunos hackers se hacen las víctimas y crean una sensación de necesitar ayuda, haciendo que los incautos les den información valiosa sin querer.
Honey trap
Podemos decir que es el modo de ingeniería social más antiguo de todos. De hecho, fue muy popular durante la guerra fría.
En este ataque social, una persona seduce sexualmente a otra con la intención de entrar en su hogar, acceder a sus ordenadores, dispositivos celulares o revisar en busca de claves de acceso.
Otras versiones de la estafa persiguen la creación de material sexual delicado, con el cual luego extorsionan a las víctimas a cambio de acceso digital.
Los más osados, envían mensajes por correo asegurando que tienen videos de la cámara web o material sexual explicito, en busca de un aporte monetario.
Quid pro quo
Este modelo es el más común, de hecho, es probable que muchos hayan caído ya en el sin saberlo.
Mediante esta estrategia al usuario se le ofrece algo de escaso valor monetario, aunque simbólico, como un chocolate, una pluma o simplemente el resultado de algún test de internet (“que tipo de animal espiritual eres”, por ejemplo).
A cambio de lo que sea que se le ofrezca, los usuarios están extremadamente dispuestos a compartir su información. Incluso sus claves de acceso, dirección, correo y demás.
Ejemplos reales de ataques de ingeniería social
Muchas personas piensan que los ataques de ingenieria social no son realmente efectivos o no engañan a nadie, pero aquí van algunos ejemplos célebres que pueden ayudar a desmentir dicha postura:
Thomas Katona – Nigeria 419 – 2007
El caso del extesorero del condado de Alcona, Michigan, en Estados Unidos, es uno de los más célebres del método de ingeniería social conocida como Nigeria 419.
Esta estrategia es un modelo de phishing en donde el atacante finge ser un acaudalado nigeriano (o entidad financiera africana) a cargo de gestionar una herencia o fondo de inversión, ante el miedo de que el gobierno corrupto se quede con el dinero, solicita una cuenta legítima a donde transferir los fondos, a cambio, el titular se quedará con una muy buena porción.
Katona fue acusado y detenido por transferir cerca de $1.2 millones de dólares del fondo público a los estafadores como parte del “trámite”.
John Podesta – Phishing 2016
El jefe principal de campaña de, Hillary Clinton, John Podesta, fue víctima de un caso bastante conocido de phishing de alto perfil.
Según cuenta la versión oficial, espías rusos enviaron en el 2016 un correo electrónico a la dirección personal de Podesta haciéndose pasar por Google, con un mensaje que indicaba que su clave había sido vulnerada y que era necesario que asignara una nueva contraseña.
Los que consiguió, en cambio, fue proporcionar sus datos en bandeja de plata a los atacantes.
Digital Equipment Corporation – Vishing 1979
Kevin Mitnick, uno de los hackers más hábiles y famosos del mundo, actualmente asesor de seguridad digital, escribió una extensa bibliografía donde planteó la definición de ingeniería social.
En una de sus primeras y más ingeniosas estafas llamó a la empresa Digital Equipment Corporation diciendo ser uno de sus desarrolladores principales de proyecto.
Asegurando tener problemas para iniciar sesión, probablemente por un fallo del sistema, recibió un nuevo usuario y contraseña que le dio acceso al servidor principal de desarrolladores de la compañía.
Consejos para evitar ser víctimas de la ingeniería social
La ingeniería social en informática es ampliamente efectiva, demasiado se pudiera decir, pero puede combatirse a través de la conciencia. Si los usuarios entienden cómo proteger sus datos de la ingeniería social, podrán hacerle frente. Veamos algunos consejos:
1. No abrir enlaces sospechosos
Muchas de estas estrategias de hackeo requieren que los usuarios abran enlaces, instalen software y visiten plataformas en línea.
Casi siempre esto viene en forma de un acceso directo adherido a un mensaje aparentemente legítimo. En línea general, evitaremos abrir cualquier enlace de cualquier remitente desconocido (incluso conocidos).
No importa lo que diga el mensaje, si el enlace va a una ruta que desconoce, no lo abra y utilice un escáner online.
2. Si la oferta es muy buena para ser verdad, es porque no lo es
Puede parecer que la Nigeria 419 es cosa del pasado, pero las personas siguen cayendo en estas estafas.
Si no quiere ser una víctima más, dude de todos esos correos con ofertas demasiado buenas para ser ciertas, sorteos de lotería donde nunca participó, herencias milagrosas y reembolsos de productos que no ha solicitado.
3. No caigas en la urgencia
Sin importar qué ingeniería social se le aplique, casi todas buscan activar un detonador de urgencia, algo que le induzca un estado de inmediatez, para que no tenga tiempo de revisar los detalles del mensaje o detenerse a pensar.
Practique en su rutina digital el no sobre reaccionar a los mensajes. Revise bien la dirección del remitente y todo detalle que pueda sugerir una potencial estafa.
4. Solicita identificadores adicionales
En lo que respecta a las llamadas y estafas más frontales, una de las mejores estrategias defensivas es solicitar credenciales.
Todo agente, por muy importante que sea, está obligado a dar sus datos de identificación y permitir que los usuarios los comprueben antes de proceder a cualquier acción.
Solicite todos los comprobantes que quiera, hasta quedar convencido en su totalidad de que está hablando con una entidad legítima.
5. Comprueba las fuentes
El cerebro está entrenado para elegir los atajos, lo más fácil, por eso es tan difícil comprobar por medios propios la información que se recibe, pero es la mejor de las prácticas.
Si recibe un correo diciendo que su cuenta bancaria fue suspendida, no haga clic en el enlace, diríjase a su cuenta bancaria, de ser posible desde otro dispositivo y compruébelo por sus propios medios.
Si recibe una llamada de una empresa, verifique con la empresa, desde un número conocido por usted mismo y no proporcionado por el atacante.
Si lee un titular muy llamativo en la red, no haga clic en él. Acceda al navegador y busque en internet el titular usted mismo. Verá que podrá reconocer la ingeniería social, al menos a la más común, con mucha frecuencia.
No hay que ser un ingeniero social para sobrevivir dentro de la nueva realidad tecnológica, pero, al menos, se necesita leer un poco sobre en qué consiste la ingeniería social para el fraude y cómo evitarla.