La gente ha utilizado la ingeniería social desde la antigüedad. Por ejemplo, en la antigua Roma y en la antigua Grecia se respetaba mucho a los oradores especialmente formados que eran capaces de convencer a sus interlocutores de su “error“. Estas personas participaban en las negociaciones diplomáticas y trabajaban en beneficio de su Estado.
Sin embargo, cuando llegaron los ordenadores, la mayoría de los ingenieros cambiaron de perfil, convirtiéndose en hackers sociales, y los términos “ingeniería social” y “hackers sociales” se convirtieron en sinónimos.
La ingeniería social (social engineering) o “ataque al individuo” es un conjunto de técnicas, métodos y tecnologías psicológicas y sociológicas que permiten obtener información confidencial.
Los ciberdelincuentes que utilizan estas técnicas en la práctica se denominan ingenieros sociales. Cuando intentan acceder a un sistema o a datos valiosos, explotan el eslabón más vulnerable: la persona.
Desgraciadamente, muchas personas siguen dejándose llevar por estas cañas de pescar y cuentan con confianza a los hackers sociales todo lo que necesitan saber. Y los estafadores tienen muchas técnicas y trucos en su arsenal. Hablaremos de ellos un poco más adelante.
Un ejemplo es el robo de 40 millones de dólares de The Ubiquiti Networks en 2015. Nadie hackeó los sistemas operativos ni robó datos: fueron los propios empleados los que infringieron las normas de seguridad. Los estafadores enviaron un correo electrónico en nombre de un alto ejecutivo de la empresa y pidieron a los financieros que transfirieran una gran suma de dinero a una cuenta bancaria determinada.
PHISHING
En un escenario clásico, la víctima recibe un correo electrónico falso de una organización conocida que le pide que siga un enlace e inicie sesión. Para ganar credibilidad, se inventan algunas razones de peso para seguir el enlace, por ejemplo, piden a la víctima que renueve la contraseña o que introduzca alguna información (nombre, número de teléfono, número de tarjeta bancaria e incluso un código CVV).
TROYA
En este caso, el cebo es un mensaje de correo electrónico que promete beneficios rápidos, ganancias u otras “montañas de oro”, pero el resultado es un virus que los atacantes utilizan para robar tus datos. ¿Por qué este tipo de robo de datos se llama ingeniería social? Porque los creadores del virus saben cómo disfrazar el malware para que hagas clic en el enlace, descargues y ejecutes el archivo.
QUID PRO QUO
O «algo por algo», del latín quid pro quo. Mediante esta técnica, el atacante se hace pasar por un empleado de soporte técnico y se ofrece a solucionar los problemas del sistema, cuando en realidad no se ha producido ningún problema. La víctima cree que hay un problema y, siguiendo las instrucciones del hacker, le concede personalmente el acceso a información importante.
PRETEXTING
Otra técnica utilizada por los ciberdelincuentes es el llamado pretexting, o acción con guion. Para obtener información, el ciberdelincuente se hace pasar por un conocido que supuestamente necesita tus datos para una tarea importante.
Si no quieres convertirte en otra víctima de los ingenieros sociales, te recomendamos que observes las siguientes reglas de defensa:
- Presta siempre atención al remitente de los correos electrónicos y a la dirección del sitio donde vas a introducir información personal. Si se trata de un correo en el dominio de una gran organización, asegúrate de que es el mismo y no hay errores tipográficos. En caso de duda, contacta con el soporte técnico o con el portavoz de la organización a través de los canales oficiales.
- Los estafadores pueden utilizar el llamado shoulder-surfing -un tipo de ingeniería social en el que se roba información espiando.
- No entres en sitios web sospechosos ni descargues archivos dudosos, ya que uno de los mejores ayudantes de la ingeniería social es la curiosidad.
- No utilices la misma contraseña para acceder a recursos externos y corporativos.
- Todas las soluciones antivirus más importantes llevan incorporado un escáner de malware.
- Familiarízate con la política de privacidad de tu empresa. Todos los empleados deben recibir información sobre cómo tratar a los visitantes y qué hacer si se detecta una intrusión ilegal.
Lee nuestros artículos sobre “Seguridad informática“, donde compartimos los mejores consejos útiles y mantente informado para evitar caer en las trampas. Recuerda que el cebo es una parte clave de todas las formas de phishing y también de otras estafas: siempre hay algo para tentar a la víctima, ya sea un texto con la promesa de una tarjeta de regalo gratuita o algo mucho más lucrativo o salaz.