En el contexto del crimen cibernético, la ingeniería social consiste en utilizar un sofisticado conjunto de técnicas con la finalidad de confundir a las personas para que abran enlaces a sitios infectados, infecten sus propias computadoras o envíen datos confidenciales, cediendo así su información bancaria, contraseñas , o todo tipo de documentación personal.
Con estas técnicas, se puede conseguir que un usuario autorice el acceso a un dispositivo con el fin de instalar software malicioso de forma inadvertida. Basan su eficacia en utilizar métodos de manipulación psicológica con el objetivo de conseguir que los usuarios revelen información confidencial o realicen cualquier tipo de acción que pueda beneficiar al ciberdelincuente.
La ingeniería social basa su éxito en una premisa básica, es más fácil manejar a las personas que a las máquinas.
Además, los hackers pueden aprovecharse de la ignorancia del usuario, debido a la velocidad a la que avanza la tecnología, numerosas personas no son conscientes del valor real de los datos personales y desconocen cuál es la mejor manera de salvaguardar esta información.
La Ingeniería Social se mueve en la interacción humana y la utilizan personas que engañan con el fin de violar los procedimientos de seguridad que normalmente deberían haber seguido las víctimas.
Pero, ¿qué es exactamente?
En su sentido más amplio, la Ingeniería Social se basa en la manipulación psicológica, es decir, intenta lograr que las demás personas hagan las cosas que uno quiere que hagan, haciéndoles creer que ellos son los primeros interesados en querer hacerlas.
En síntesis, no se diferencia mucho de cualquier método de estafa, y se basa en buena medida en conceptos relacionados con los sesgos cognitivos u otros errores de carácter psicológico, lo que la relaciona en algunos aspectos con los métodos de captación de las sectas o los argumentos de las teorías de la conspiración.
Existen una serie de técnicas de ingeniería social que incluyen cebos (ofrecer algo que la víctima desea para conseguir que descargue un archivo malicioso), phishing (un correo electrónico fraudulento para que comparta información personal), pretextos (hacerse pasar por otra persona con el fin de obtener acceso a información privilegiada) o scareware (engañar para que crea que su equipo está infectado con malware y luego ofrecer una solución que infectará su equipo).
Los ataques incluyen también el phishing - vishing (llamadas telefónicas de personas que se hacen pasar por una organización respetada) y baiting (infectar unidades de USB con malware y luego simplemente espera que el usuario las conecte a su máquina).
La Ingeniería Social también se extiende a las redes sociales como LinkedIn o Facebook para obtener datos. Con bastante frecuencia, el resultado final es la extorsión o el robo, el método a menudo incluye sustraer algo pequeño para despistar y luego saquear algo más grande, y en otras ocasiones, ingresar ilícitamente a zonas seguras sustrayendo los datos de otra persona con permiso de acceso.
Principios básicos en los ataques de ingeniería social:
Principio de autoridad. Por norma general, los usuarios, como ciudadanos, respetarán la autoridad, bien sea dentro de una empresa o en la vida cotidiana. Este tipo de ataques se basan en ese respeto a responsables y autoridades como las Fuerzas y Cuerpos de Seguridad del Estado.
El buen samaritano. Tanto en entornos laborales como en los domésticos, los usuarios pueden encontrarse en la situación de tener que ayudar a un congénere. Por lo general, la educación recibida empuja a esa persona al deseo de ser lo más eficaz posible en esa tarea, la de ayudar. Por este motivo los ciberdelincuentes pueden hacerse pasar por un falso empleado de la empresa que necesita ayuda en un cometido, y cuyo requerimiento consiste en proporcionar datos sensibles.
Otra variante utilizada, es hacerse pasar por un técnico informático para instalar herramientas de acceso remoto no autorizado, evidentemente de cara a la víctima sí se presentan como herramientas autorizadas, y además el técnico finge estar en una situación de presión por parte de superiores comunes, apelando así a la complicidad, a la empatía etc...
Falsa protección. Se utiliza en campañas de phishing. Con el engaño de que han existido varios accesos no autorizados, cambios en las políticas o cualquier otra artimaña, los ciberdelincuentes fuerzan a la víctima el acceso a una web fraudulenta donde le sustraen información confidencial.
Respeto social. En algunos casos, los ciberdelincuentes basan su estrategia en el miedo que tienen los usuarios a no ser socialmente aceptados o a perder su reputación. Esto es habitual en los correos de sextorsión, donde los ciberdelincuentes amenazan con difundir un supuesto video privado que en realidad no existe.
Ofertón! Se basa en ofrecer un servicio gratuito a cambio de información privada, suele llevarse a cabo por medio de popups, esto sucede con mayor frecuencia cuando se visitan sitios poco confiables, buscadores o páginas que ofrecen cracks, descargas ilegales, pornografía, etc…
El Ofertón! es común en mensajes de redes sociales o aplicaciones de mensajería.
En definitiva, a protección contra la ingeniería social comienza con la educación; los usuarios deben aprender a no acceder a enlaces sospechosos y deben proteger sus credenciales de inicio de sesión, no solo en lugares públicos, sino también en la oficina y en el hogar.
De todos modos, si las prácticas de ingeniería social tienen éxito, la infección con malware está casi asegurada. Para neutralizar rootkits, troyanos y otros bots, es imprescindible la implementación de seguridad en Internet, capaz de eliminar y rastrear infecciones.
Accede a los artículos sobre Ingeniería social.
