La ingeniería social, básicamente, es el acto de engañar o manipular a alguien a través de técnicas psicológicas y habilidades sociales para que divulgue información confidencial o facilite a un atacante acceso a sistemas y redes.
La idea detrás de la ingeniería social es aprovechar las tendencias naturales y las reacciones emocionales de las personas (curiosidad, avaricia, miedo, respeto a la autoridad, voluntad de ayudar, etc.) ante diversas situaciones.
Rasgos comunes de los ingenieros sociales
Igual que en todos los oficios, habrá de todo, pero esta gente, tiene que tener necesariamente una serie de cualidades para poder perpetrar con éxito las estafas.
Empatía: irónicamente, la habilidad de estos sinvergüenzas para empatizar con los demás es lo que les permite explotar eficazmente las emociones de sus objetivos.
Recursos: son expertos en utilizar cualquier información que esté a su disposición, a menudo convirtiendo datos aparentemente irrelevantes en una oportunidad para perpetrar sus fechorías.
Carisma: una conducta persuasiva y simpática ayuda a los ingenieros sociales a bajar las defensas de sus objetivos, facilitando la extracción de información e influyendo en las acciones de la víctima.
Observación: les permiten captar señales sutiles que pueden utilizar para adaptarse a cada objetivo.
Paciencia: la paciencia para infundir confianza, y una falsa sensación de seguridad, es clave para sus llevar a cabo sus prácticas engañosas
Gracias a estas «cualidades», un ingeniero social no necesita utilizar malware para robar datos confidenciales.
Tipos de ataques de ingeniería social
Los ataques de ingeniería adoptan muchas formas y se pueden llevar a cabo en cualquier ámbito que involucre la interacción humana.
En este sentido, de nada sirve tener dos alarmas y varias cerraduras de seguridad, si le abrimos la puerta a un ladrón, que se hace pasar por un repartidor de Amazon.
Phishing
Este método generalizado implica el envío de correos electrónicos fraudulentos que imitan comunicaciones legítimas de entidades de confianza para engañar a los destinatarios para que divulguen información sensible, como credenciales de inicio de sesión o números de tarjetas de crédito.
Spear phishing
Se centra en individuos u organizaciones específicas. Estos correos electrónicos son altamente personalizados, a menudo utilizan información recopilada de redes sociales o de fuentes abiertas.
Vishing
Los perpetradores utilizan llamadas telefónicas para engañar a la gente para que proporcione información personal o detalles financieros.
Los atacantes a menudo se hacen pasar por empleados del banco, servicios de atención al cliente, soporte técnico, o el departamento de TI de una empresa, para engañar a las personas para que faciliten datos sensibles (ver video).
Smishing
Similar al phishing mediante correo electrónico, el smishing implica enviar mensajes de texto para engañar a las personas para que hagan clic en enlaces maliciosos o proporcionen información personal bajo falsos pretextos, como un problema con su cuenta bancaria.
Pretextos
Implica crear un escenario imaginario para lograr el acceso a información confidencial. Podrían hacerse pasar por compañeros de trabajo, empleados del banco, familiares en apuros, u otras personas con las que la víctima tiene relación.
Quid Pro Quo
Los villanos ofrecen un beneficio a cambio de información. El atacante podría ofrecer asistencia técnica gratuita a cambio de las credenciales de inicio de sesión u otros datos sensibles.
Compromiso de correo electrónico empresarial (BEC)
Los ciberdelincuentes se hacen con las credenciales del correo electrónico de ejecutivos o empleados de alto nivel para engañar a los empleados para que transfieran dinero o información sensible.
Esto a menudo implica solicitudes urgentes de transferencias bancarias o pago a cuentas fraudulentas.
El fraude del CEO
Los atacantes se hacen pasar por el CEO u otro ejecutivo de alto rango en una organización para engañar a los empleados, (generalmente del departamento de finanzas), para que lleven a cabo transferencias bancarías, o facilite información sensible.
Consejos para evitar ser una víctima de la ingeniería social
Como hemos dicho al principio, la ingeniería social es una técnica que no requiere de conocimientos de programación.
Tampoco está basada en firmas de malware, ni utiliza códigos exóticos, por lo que las soluciones de seguridad, aparte de bloquear las URL de phishing, poco pueden hacer al respecto.
Considera la procedencia de la fuente
- Una memoria USB encontrada en la calle no es necesariamente un buen hallazgo.
- Un mensaje de texto o correo electrónico de tu banco no tiene por qué proceder necesariamente de este.
- Suplantar una fuente confiable es relativamente fácil.
- No hagas clic en enlaces ni abras archivos adjuntos de fuentes sospechosas.
- No importa cuán legítimo parezca ese correo electrónico, es más seguro escribir una URL en tu navegador en lugar de hacer clic en un enlace.
Si suena demasiado bueno o extraño para ser verdad, posiblemente sea mentira
- ¿Qué probabilidades hay de que un príncipe nigeriano se acerque a ti para pedirte ayuda?
- ¿O de qué te haya tocado una lotería en la que nunca has jugado?
- Investiga cualquier solicitud de dinero, información personal o cualquier cosa antes de facilitarlo.
- Hay muchas posibilidades de que se trate de una estafa, e incluso si no lo es, siempre es mejor prevenir que curar.
Instala un software antimalware y mantenlo actualizado
- Compra un software antivirus o instala uno gratuito.
- Puede ayudar a neutralizar las URL maliciosas y las páginas de phishing.
Cuidado al iniciar sesión
- No debemos iniciar sesión en nuestras cuentas desde redes inseguras o a través de plataformas que puedan no ser fiables.
- También debemos cerrar sesión cuando utilicemos equipos ajenos o compartidos.
El software de correo electrónico puede ayudarte
La mayoría de los programas de correo electrónico pueden ayudar a filtrar el correo basura, incluidas las estafas.
Si crees que el tuyo no está haciendo lo suficiente, o carece de esta característica, haz una búsqueda rápida en línea para averiguar cómo llevar a cabo su configuración, o cambia de cliente de correo.
El objetivo es adaptar los filtros de spam para eliminar la mayor cantidad de correo basura posible.
Piensa antes de actuar
Los villanos quieren que actúes primero y pienses después de haberla cagado.
Si el mensaje transmite una sensación de urgencia, nunca permitas que esto influya en tu decisión.