¿Qué es la Ingeniería social?
El concepto de ingeniería social surge originalmente de la filosofía en el año 1945, de la mano de Karl Popper, quien originalmente basaba su principio en que las personas podían ser optimizadas igual que se hace con la maquinaria. Posteriormente, a partir de 1970 los sucesores de Popper ampliaron su teoría para incluir un rasgo característico, los engaños psicológicos. Con el paso de los años, los engaños se han complementado con la manipulación y la suplantación, otorgando a este concepto un aire de peligrosidad y, por qué no, de desconocimiento.
Con esta información, podemos definir la ingeniería social como las diferentes técnicas que emplean los ciberdelincuentes para obtener información confidencial de otros usuarios y que se utilizará, posteriormente, en perjuicio de estos últimos.
El objetivo es la información, la víctima es el usuario, el ciberdelincuente es el atacante y el medio empleado puede ser: email, teléfono, chat, sms, redes sociales, foros, etc…
¿Por qué lo llamamos ‘Ingeniería social’?
Esta expresión se fundamenta en un principio sencillo y muy esclarecedor: “el usuario es el eslabón más débil de la cadena”. De esta manera, queda representada una verdad innegable y es que ningún sistema deja de estar atendido, en algún punto, por personas.
Los usuarios somos susceptibles de ser manipulados o engañados por el ciberdelincuente, quien se guiará por esta premisa para acceder a nuestro sistema o información, sin fuerza bruta porque será ‘nuestro invitado’ desde el momento en que caigamos en su trampa.
Los ciberdelincuentes emplean la ingeniería social porque resulta más sencillo dedicar recursos a ganarse la confianza o engañar al usuario que tratar de acceder a sus complejos sistemas de seguridad. Y, ¿Cómo sucede esto? Sencillamente creando un interés, motivación, duda o temor en la víctima.
Por ejemplo, ¿Quién no ha oído hablar alguna vez o ha recibido información sobre la famosa estafa nigeriana? Se propaga mediante email y en ella, un supuesto príncipe nigeriano te ofrece grandes recompensas si le ayudas a recuperar sus posesiones previo adelanto económico mediante giros postal o Western Union por parte de la víctima. Por supuesto, ni existe príncipe ni nunca llegará la tan ansiada recompensa.
Otro conocido caso, que en realidad fue un estudio psico-social y tuvo mucha repercusión en EE.UU. en el año 2010, fue el caso de Thomas Ryan, experto en IT. Ryan creó un perfil ficticio en redes sociales simulando ser Robin Sage, una atractiva joven que captó la atención de distintas personalidades del gobierno norteamericano además de reputados empresarios y militares. Obtuvo diversa información confidencial y sensible, lo cual evidenció la preocupante brecha de seguridad que se genera por el exceso de confianza y la fragilidad de la mente humana.
¿Estoy siendo víctima de Ingenieria social? ¿Cómo lo detecto?
Se estima que más del 90% de las brechas de seguridad se inician a partir de un correo electrónico. En menor medida, el contacto puede producirse también por teléfono o mensaje privado en foros, formularios y links en redes sociales.
Es fundamental, como en cualquier ámbito de la seguridad informática, una correcta prevención que elimine el riesgo desde el origen. Para ello, podemos poner en práctica algunas medidas, tales como:
– Comprobar la identidad del remitente de los emails.
– No facilitar información sensible como contraseñas o datos bancarios.
– Usar la lógica y evitar las tentaciones de jugosas promesas sobre ganancias, regalos y similares.
– Utilizar siempre canales oficiales para contactar con otra persona, tanto si es vía telefónica o por email.
– Prestar atención a logotipos corporativos, expresiones utilizadas y coherencia en el texto del email.
Recibir un email no solicitado en el que se demanda información sensible es un claro ejemplo de alarma. Quizás te soliciten credenciales de acceso o números de cuenta bancaria o tarjeta de crédito y pienses que no hay peligro porque todo hace indicar que se trata de un email legítimo, pero realmente tienes indicios para sospechar. Ninguna entidad te va a solicitar nunca información personal e intransferible, sea cual sea la vía de contacto utilizada.
Otra fuente de sospecha y sobre la que hay que prestar especial atención son las redes sociales. Muchos usuarios comparten libremente gran cantidad de información como fotos, estilos de vida, ubicaciones, amigos y datos sobre su personalidad. Generalmente, el usuario medio no reconoce el alcance de la peligrosidad de dichas acciones y por ello, no percibe amenazas a la hora de establecer posible contacto con otras personas en estas redes.
¿Qué métodos de ingeniería social existen?
Estas son algunas de las técnicas más comunes empleadas por los ciberdelincuentes:
Phishing 🡪 es el método más empleado y con el paso del tiempo, ha ido perfeccionándose. Consiste en la recepción de un email donde nos piden descargar algún archivo adjunto o iniciar sesión en una determinada página web, que también puede ser fraudulenta (pharming) o servicio. Este email puede ser genérico, más fácilmente detectable, o bien personalizado, el cual nos puede generar una falsa seguridad sobre el remitente.
Al abrir o ejecutar el archivo adjunto, o bien introducir tus credenciales estarás exponiendo tus datos al ciberdelincuente, que pasará a tomar el control de estos.
Ejemplo: Recibes un email de tu banco donde te indican que por ‘X’ motivo (comprobación de seguridad, actualización de datos, recepción de una transferencia, etc…) debes introducir tus credenciales de seguridad en un enlace adjunto al correo o bien facilitárselas por escrito. Claramente, se trata de un robo de datos y debes hacer caso omiso.
Baiting 🡪 este tipo de ataque consiste en dejar abandonado un dispositivo de almacenamiento extraíble (USB, móvil, CD, DVD), el cual estará infectado con un software malicioso. Una vez la víctima lo introduce en su equipo, el malware lo infectará y comenzará a propagarlo por su red de contactos, además de poder tomar el control del equipo y la información contenida en él.
Ejemplo: Encuentras en tu escritorio un pendrive USB, el cual no sabes reconocer ni tiene vínculo alguno contigo. La curiosidad provoca que lo introduzcas en tu equipo y entonces, se produce la tragedia. Tu equipo pasa a estar infectado y el ciberdelincuente pasa a tomar el control del equipo o roba la información que le interesa. Además, el malware se reenviará automáticamente a tu lista de contactos, haciéndose pasar por ti y generando confianza en el destinatario, que al abrirlo iniciará el mismo proceso sucedido en tu equipo.
Vishing 🡪 es un método basado en la suplantación de identidad a través del contacto telefónico. El ciberdelincuente se hace pasar por un empleado de una empresa en cuestión y solicita a su víctima datos sensibles, sean personales o bancarios.
Ejemplo: Recibes una llamada de, supuestamente, tu compañía eléctrica. El interlocutor te indica que, por error de facturación, te han cobrado de más en la última factura y van a proceder para realizarte un abono compensatorio. Para ello, quien llama, te pide tus datos personales y bancarios para confirmar la exactitud de estos con los almacenados en su base de datos. En ningún momento, quien llama, dispone de estos datos para cotejarlos, pero aprovecha nuestra colaboración para obtenerlos con facilidad.
Smishing 🡪 esta técnica consiste en que el ciberdelincuente envía a su víctima un SMS suplantando la identidad de una entidad o institución legítima, con la finalidad de obtener de él información privada, incluso datos bancarios. Estos SMS suelen incluir links a webs fraudulentas o la invitación a llamar a un número de tarificación especial.
Ejemplo: Recibimos en nuestro teléfono móvil un SMS haciéndose pasar por la Agencia Tributaria y nos indican, que hay una irregularidad en nuestra última declaración de la renta. Adjuntan un enlace que quieren que pulsemos para subsanar el error y al pulsarlo, haremos vulnerable nuestro dispositivo y el ciberdelincuente podrá acceder a nuestra información.
Ser previsores, cautelosos e invertir en seguridad informática puede suponer un esfuerzo al comienzo, pero la grata experiencia en que se transformará a corto y medio plazo compensa cualquier trabajo preventivo a realizar.
No seamos ingenuos, anticipémonos al riesgo. Si quieres conocer nuestros servicios de seguridad informática, ponte en contacto con nosotros. 😊
