La ingeniería social, básicamente es el acto de engañar o manipular a alguien a través de técnicas psicológicas y habilidades sociales para que divulgue información confidencial o facilite a un atacante acceso a sistemas y redes.
La idea detrás de la ingeniería social es aprovechar las tendencias naturales y las reacciones emocionales de las personas (curiosidad, avaricia miedo, respeto a la autoridad, voluntad de ayudar etc.) ante diversas situaciones.
Poe ejemplo, para obtener una contraseña, un ciberdelincuente puede instalar un troyano, buscar una vulnerabilidad en el sistema operativo o en una pieza de software.
Sin embargo, un ingeniero social no necesita utilizar malware para robar datos confidenciales.
Esto le ahorra al delincuente tener conocimientos técnicos y reduce la posibilidad de que sea detectado por las medidas de seguridad convencionales como antivirus o cortafuegos.
Lo que hace que la ingeniería social sea especialmente peligrosa es que se basa en el comportamiento humano, en lugar de en vulnerabilidades en el software y los sistemas operativos.
Tipos de ataques de ingeniería social
Los ataques de ingeniería adoptan muchas formas y se pueden llevar a cabo en cualquier ámbito que involucre la interacción humana.
- Cebo (Baiting).
- Phishing.
- Spear phishing.
- Pretextos.
- Quid pro quo.
- Vishing.
- Técnica de clickbait.
- Deepfake
En este sentido, de nada sirve tener dos alarmas y varias cerraduras de seguridad, si le abrimos la puerta a un ladron, que se hace pasar por un repartidor de Amazon.
Cebo (Baiting)
Como su nombre indica, los ataques de cebo utilizan distintos medios para despertar la codicia o la curiosidad de la víctima.
Atraen a los usuarios a una trampa para robar información personal o inyectar software malicioso en sus sistemas.
La forma más utilizada de cebo se vale de medios físicos para propagar el malware.
- Por ejemplo, los atacantes dejan el anzuelo, generalmente en forma de unidades flash troyanizadas, en lugares visibles como aceras, baños, ascensores, etc.
- El ingeniero social, también puede distribuir directamente dispositivos infectados con malware a los empleados de una empresa.
Las víctimas recogen el dispositivo, y movidas por la curiosidad, lo insertan en uno de los terminales del trabajo o en el ordenador de su propia casa, infectando su sistema.
Pero las estafas de cebo no necesariamente tienen que llevarse a cabo mediante un medio físico.
También pueden perpetrarse insertando en una página web (o cualquier otro medio de comunicación digital) anuncios atractivos que conducen a sitios infames o que alientan a los usuarios a descargar una aplicación infectada con software malicioso.
"¡Felicidades! Eres el afortunado ganador de…! Tenemos un regalo gratis para ti, descárgalo ahora.
Otra forma de cebo, es ofrecer a los usuarios descargas gratuitas de música o películas, si inician sesión en determinado sitio y facilitan información personal.
Phishing
Es posiblemente el tipo de ataque de ingeniería social más común y conocido.
Podríamos decir que se ha convertido en todo un clásico.
Se trata de campañas masivas mediante mensajes de texto, correos electrónicos o cualquier otro medio de comunicación digital.
Acostumbran a crear una sensación de urgencia, curiosidad o miedo para que el destinatario actue sin reflexionar.
Su objetivo es que la víctima revele información confidencial, haga clic en un enlace a un sitios web malicioso, abra un archivo adjunto con una carga útil de malware, etc.
Los correos electrónicos de phishing podrían identificarse facilmente debido a una redacción muy deficiente, faltas de ortografía, y al uso inadecuado de fuentes tipográficas. Sin embargo gracias a la inteligencia artificial se han vuelto cada vez más sofisticados y difíciles de detectar.
Un ejemplo típico es el phishing bancario, donde un falso mensaje del banco solicita al cliente que introduzca su clave de acceso, o los datos de su targeta de crédito.
Este correo, podría incluir un enlace a un sitio web clonado y casi idéntico a su versión original.
Spear phishing
El spear phishing es un método de phishing dirigido a personas o grupos específicos, tanto particulares como pertenecientes a una organización.
Para ello, el atacante realiza previamente una investigación sobre el objetivo para adaptar sus mensajes en función de las características personales o profesionales de la futura víctima.
Existen muchos medios para obtener información y hacer un perfil de la persona a la que se pretende estafar.
- Clientes, socios, proveedores, etc.
- Información económica y financiera.
- Redes sociales profesionales y personales de los empleados que son un hervidero de información sobre personas y empresas.
- Foros, listas de correo y mensajería instantánea.
- Blogs, sitios de citas y plataformas de contratación.
- Información obtenida de fuentes abiertas disponibles en internet.
- Bucear en la basura, también puede ser una buena fuente de inteligencia.
Requiere mucho más esfuerzo por parte del perpetrador y puede llevar semanas y meses planificarlo y llevarlo a cabo.
Debido a su personalización, son mucho más difíciles de detectar, y tienen buenas tasas de éxito si se hacen con habilidad.
Pretextos
La característica principal de esta modalidad de phishing, es que el estafador inventa una historia, para engañar a la víctima.
El pretexto generalmente coloca al atacante en el papel de alguien con autoridad, o que necesita tener acceso a cierta informació para ayudar a la víctima.
- Un compañero de trabajo.
- Un funcionario público.
- Un empleado del banco.
- Un representante del servicio al cliente amable y servicial.
En resumen, cualquier persona o institución con la que el objetivo pueda tener una relación de algún tipo.
Mediante preguntas que aparentemente son necesarias para confirmar la identidad del usuario, mejorar el servicio o hacer una oferta personalizada recopilan datos personales importantes.
Igual que con el spear phishing, antes de perpetrar la estafa, el pretextador realiza una investigación cuidadosa sobre el objetivo.
Cuanto más específica sea la información que el villano tenga sobre la futura víctima, más fácil le resultará engañarla.
Quid pro quo
Quid pro quo es una frase en latín, que en español se traduce literalmente como algo a cambio de algo o una cosa por la otra.
Por ejemplo un beneficio a cambio de información.
Los estafadores intentan hacen creer a la víctima que se trata de un intercambio beneficioso para ella, pero eso está lejos de la realidad.
- Prueba gratis nuestro software durante 30 dias, para ello solo necesitas ingresar el número de tu tarjeta de crédito. No se te realizará ningún cargo.
- ¿Tu dispositivo no funciona? Por ser cliente de Microsoft te lo configuramos gratis, todo lo que necesitamos para ello son tus credenciales de acceso.
- Para participar en el sorteo e este iPhone 14 Pro Max, rellena este formulario con tu DNI, número de teléfono móvil, fecha de nacimiento, y dirección postal.
Este tipo de estafas pueden ser difíciles de detecta porque a menudo se hacen pasar por ofertas procedentes de empresas legítimas, algunas de ellas de reconocido prestigio.
Vishing
Vishing es la versión de voz del phishing pero por lo demás, el intento de estafa es el mismo.
El delincuente usa el teléfono para engañar a la víctima para que le entregue información valiosa.
Intenta convencer a la víctima para que proporcione credenciales de inicio de sesión, datos bancarios, u otra información confidencial.
Otra táctica común es dejar mensajes en el contestador en un tono enérgico y amenazante, para que el destinatario presa del miedo o de la ansiedad devuelva la llamada de inmediato.
- Le van a cancelar su cuenta bancaria.
- Tiene un prestamo impagado y le van a demandar si no llama en 24 horas.
- Va a sufrir un corte de la luz por una factura impagada.
Técnica de clickbait
El clickbait es un método bastante utilizado por la gran mayoría de publicaciones digitales, para que los lectores hagan clic en titulares espectaculares que dirigen a contenido publicitario.
Por ejemplo: «Su rostro sufrió tal transformación que ni ella misma podía reconocerse ante el espejo»
Si alguien pulsa en el enlace, seguramente será dirigido a un anuncio patrocinado de cosméticos.
Puede ser rancio y éticamente cuestionable, pero no acostumbra a representar ningún peligro.
Pero los villanos se aprovechan del hecho de que las páginas web, blogs y prensa digital utilizan esta técnica para monetizar sus publicaciones.
Nada les impide insertar anuncios maliciosos en redes publicitarias legitimas, relacionados con temas de actualidad, juegos, famosos, películas, etc.
Al pulsar en cualquiera de ellos, se puede ejecutar algún tipo de código malicioso que infecte el sistema del usuario, o estafarlo mediante compras fraudulentas.
Deepfake
Mediante videos e imagenes altamente realistas generados mediante inteligencia artificial (IA) se puede engañar a las personas para que crean en información falsa.
Por ejemplo, un video manipulado de un político haciendo declaraciones controvertidas podría influir en la opinión pública, sembrar discordia o influir en los resultados de unas elecciones.
Quizás lo más preocupantes es el uso de este tipo de contenidos para llevar a cabo «ataques de difamación» para intentar desacreditar a una persona, ya sea en su lugar de trabajo o en la vida personal.
Consejos para evitar ser una víctima de la ingeniería social
Como hemos dicho al principio, la ingeniería social es una técnica que no requiere de conocimientos de programación.
Tampoco esta basada en firmas de malware, ni utiliza códigos exóticos, por lo que las soluciones de seguridad, a parte de bloquear las URL de phishing, poco pueden hacer al respecto.
Considera la procedencia de la fuente
- Una memoria USB encontrada en la calle no es necesariamente un buen hallazgo.
- Un mensaje de texto o correo electrónico de tu banco no tiene porque proceder necesariamente de este.
- Suplantar una fuente confiable es relativamente fácil.
- No hagas clic en enlaces ni abras archivos adjuntos de fuentes sospechosas.
- No importa cuán legítimo parezca ese correo electrónico, es más seguro escribir una URL en tu navegador en lugar de hacer clic en un enlace.
Si suena demasiado bueno o extraño para ser verdad, posiblemente sea mentira
- ¿Qué probabilidades hay de que un príncipe nigeriano se acerque a ti para pedirte ayuda?
- ¿O de qué te haya tocado una lotería en la que nunca has jugado?
- Investiga cualquier solicitud de dinero, información personal o cualquier cosa antes de facilitarlo.
- Hay muchas posibilidades de que se trate de una estafa, e incluso si no lo es, siempre es mejor prevenir que curar.
Instala un software antimalware y mantenlo actualizado
- Compra un software antivirus o instala uno gratuito.
- Puede ayudar a neutralizar las URL maliciosas y las páginas de phishing.
Cuidado al iniciar sesión
- No debemos iniciar sesión en nuestras cuentas desde redes inseguras o a través de plataformas que puedan no ser fiables.
- También debemos cerrar sesión cuando utilicemos equipos ajenos o compartidos.
El software de correo electrónico puede ayudarte
La mayoría de los programas de correo electrónico pueden ayudar a filtrar el correo basura, incluidas las estafas.
Si crees que el tuyo no está haciendo lo suficiente, o carece de esta característica, haz una búsqueda rápida en línea para averiguar cómo llevar a cabo su configuración, o cambia de cliente de correo.
El objetivo es adaptar los filtros de spam para eliminar la mayor cantidad de correo basura posible.
Piensa antes de actuar
Los villanos quieren que actúes primero y pienses después.
Si el mensaje transmite una sensación de urgencia nunca permitas que esto influya en tu decisión.