Si usted es como la mayoría, seguramente no estará muy informado de lo que es la ingeniería social. O tal vez le parezca que solamente pretende engañar a víctimas incautas para robarles algo de dinero. Pero lo que tal vez no sepa, es que las técnicas de ingeniería social pueden tener múltiples manifestaciones. El robo de dinero no siempre es el objetivo principal. De hecho, las estratagemas de ingeniería social pueden usarse para robar información delicada o simplemente para sembrar el caos y la discordia. Como resultado, los ataques de ingeniería social a veces son difíciles de detectar y de evitar. Sin embargo, existen señales que pueden revelar la estratagema. ¡Veamos cómo evitar los ataques de ingeniería social!
¿Qué es la Ingeniería Social?
Primero lo primero. ¿Qué es la ingeniería social? La ingeniería social comprende múltiples técnicas para explotar la naturaleza humana e inducir comportamientos y errores que lleven a debilitar o a poner en riesgo las medidas de seguridad. Le permite a los cibercriminales acceder a información, dinero o control de lo que buscan. No es un tipo de ataque único, sino más bien un grupo de estafas diferentes que comparten similitudes:
- Las perpetran estafadores intentan obtener información delicada o dinero.
- Explotan la confianza y el comportamiento humanos para manipular a sus víctimas y lograr sus objetivos.
- Se aprovechan de la falta de conocimiento de sus víctimas y su incapacidad de implementar medidas de seguridad para protegerse.
- Estas estratagemas suelen implicar el uso de información personal (robo de identidad) para lucir más auténticas.
¿Recuerda el “regalo” que los antiguos griegos hicieron a la ciudad de Troya? Un excelente ejemplo del mundo real.
La manipulación es la clave
Olvídese de las tácticas de fuerza bruta. Con la ingeniería social, los atacantes se sirven de la manipulación para inducir a sus víctimas a que se pongan en riesgo a ellas mismas o a las medidas de seguridad que les protegen. Los estafadores conectan con sus víctimas para inspirarles confianza e influir en sus acciones.
A medida que los atacantes se familiarizan más con las motivaciones de sus objetivos, pueden usar tácticas de persuasión para convencerlos de que adopten comportamientos destructivos.
Y funciona: muchas incidencias de ciberseguridad son realmente ataques de ingeniería social que han funcionado, llevados a cabo por atacantes externos. Juegan con la debilidad humana para hacer que sus víctimas les den acceso, de manera incauta, a información delicada o dinero.
Usted puede estar usando canales seguros para comunicarse y una variedad de otras medidas para proteger su privacidad en internet ─por ejemplo, si usa un paquete de correo electrónico como Mailfence─, y aun así resultar víctima de una estratagema de ingeniería social.
Un hacker puede obtener sus credenciales y evadir todas sus barreras de seguridad para acceder a su mundo online, simplemente porque usted, por un momento fugaz, confió en ellos y les permitió obtener información crucial suya. Es por eso que aprender a detectar las estratagemas de ingeniería social es clave.
Si la debilidad humana es la clave para los hackers, comprender la ingeniería social es la manera de evitarlo.
¿Cómo funciona la ingeniería social?
Como ya mencionamos, la ingeniería social implica manipular a la víctima. Puede adoptar diversas encarnaciones para inducir sensaciones específicas o aprovecharse de características humanas:
Confianza
El hacker envía un mensaje que suplanta los códigos de comunicación de una organización, como su logotipo u otras características de la marca (tipo de letra, estilo de redacción, etc.). Lo que pretenden es engañar a la víctima para que haga las cosas que ya hace cotidianamente, pero con esta organización específica (hacer clic en un enlace dado, descargar un archivo, etc.), porque confían en ellos y simplemente no se les ocurre poner en duda el origen del mensaje.
Obediencia a la autoridad
Obedecer a la autoridad es otra característica humana que las técnicas de ingeniería social pueden explotar. Los piratas suplantan a un individuo de alto rango o a una agencia gubernamental para inducir a su objetivo obediente a que haga algo.
Sensación de urgencia, miedo
Las personas pueden actuar sin pensarlo cuando se enfrentan a una repentina sensación de pánico o ansiedad. Son vulnerables a estafas de ingeniería social que se aprovechan de esas emociones. Estas tácticas de engaño explotan el miedo y la urgencia de varias maneras, por ejemplo:
- Alertas falsas de crédito.
- Advertencias de virus.
- Explotar el FOMO (es decir, el miedo a perderse de algo).
La víctima entra en pánico, y se le tienta para que emprenda acciones sin antes tomarse el tiempo necesario para evaluar las consecuencias o comprobar dos veces la legitimidad de la solicitud. Podría resultar desastroso para una empresa, o incluso a nivel personal. Además, cuando usted sabe que hay hackers atacando específicamente a pymes, es muy importante protegerse.
Avaricia
Usted no rechazaría un regalo, ¿verdad? Los estafadores comprenden muy bien esto, y muchas estafas procuran usar la avaricia para atraer a sus víctimas con recompensas financieras, iPhones y otros “tesoros”.
Lo más probable es que haya recibido alguna vez una “Carta Nigeriana”. En realidad, es un ataque de phishing. Esta clase de mensajes provienen, supuestamente, de un individuo que afirma que usted puede obtener millones de dólares de un banco nigeriano. Aparentemente, el dinero se encuentra bloqueado por alguna extraña razón… y usted simplemente tiene que pagar los trámites administrativos para quedarse con todo.
Este es un ejemplo perfecto de una estafa que busca explotar nuestro interés por el dinero, regalos o recompensas sencillas.
Generosidad
La generosidad y el deseo de ayudar a nuestros semejantes con características humanas que las técnicas de ingeniería social pueden explotar. Los piratas informáticos investigan en las redes sociales para descubrir qué cosas son importantes para usted y qué causas es probable que usted quiera apoyar.
Después, pueden suplantar a una organización vinculada a una de las causas relevantes para contactarle y pedirle una donación. Durante este proceso, le pedirán información bancaria, para poder quedarse con su dinero.
Los diversos tipos de ataques de Ingeniería Social
Existen muchos tipos de ataques de ingeniería social, con pequeñas diferencias.
Las estafas de phishing son uno de los ataques de ingeniería social más comunes hoy en día. Las estafas de phishing se basan en los correos electrónicos para hacer una conexión con el objetivo, mientras que las de smishing se hacen mediante SMS y las de vishing en conversaciones telefónicas.
El spear phishing se enfoca en individuos específicos e incluye información personal para parecer legítimo. Los ataques de whaling se orientan a ejecutivos en altos cargos.
El pretexting es un tipo de ingeniería social en la que los atacantes se enfocan en crear un pretexto plausible, o un escenario forjado por ellos mismos, que puedan usar para intentar robar la información personal de sus víctimas.
El baiting (literalmente, “poner carnada” o “cebar”) es similar a los ataques de phishing. Sin embargo, lo que los distingue de otros tipos de ingeniería social es la promesa de un artículo u objeto que los hackers usan para atraer a sus víctimas, tal como el caballo de Troya del mito.
Los ataques de Quid Pro Quo prometen la obtención de un beneficio a cambio de información. Este beneficio suele ser un servicio (mientras que el baiting suele ofrecer un artículo físico a cambio).
Otro ataque de ingeniería social es el tailgating, en el que una persona busca obtener acceso a un área restringida en la que no puede estar.
El scareware intenta hacer creer a sus víctimas que un virus ha infectado su dispositivo, y que necesitan comprar o descargar software específico para corregir esto.
La mayoría de estos comparten las siguientes características:
- Tratan de obtener información personal, como nombres, direcciones y números de seguridad social.
- Emplean acortadores de enlaces, o integran enlaces que redirigen a los usuarios a páginas web sospechosas con URL que parecen legítimos.
- Con frecuencia funcionan en tándem con malwares para crear un paquete perfecto ─donde el equipo del usuario no solamente filtra la información, sino que también resulta comprometida─.
- Pueden recurrir a amenazas, miedo y otras maneras de inspirar una sensación de urgencia para manipular al usuario y lograr que actúe rápidamente.
¿Cómo identificar y evitar la ingeniería social?
Tómese su tiempo para evaluar la situación
Tómese el tiempo para considerar la situación en pleno, y examine el mensaje con cuidado, incluso si resulta preocupante.
- ¿Es un mensaje totalmente inesperado?
- ¿Proviene del lugar correcto?
- Asegúrese de que está interactuando con contactos confiables confirmando sus identidades. Cuando sea posible, contacte a su remitente directamente para asegurarse de que hayan enviado lo que se recibió.
- Además, compruebe si hay errores ortográficos, cosas extrañas en el logotipo, u otros detalles que puedan indicar que el mensaje sea falso. ¿Esta organización se suele comunicar de esta manera?
- De nuevo, en caso de duda, tome su teléfono y llame al número que usó para llamar (no al número indicado en el mensaje) para obtener más información.
Compruebe la URL o archivo antes de hacer clic
Cualquier archivo adjunto en un mensaje puede ocultar un virus o alguna otra clase de malware, como un ransomware. Un enlace en un mensaje puede llevarle a una página web suplantada, en la cual le roban sus datos o infectan su dispositivo con malware.
Antes de hacer clic, revíselos con mucho cuidado:
- ¿Hay alguna indicación de que pueda contener macros?
- ¿Esperaba usted recibir este archivo o enlace?
- Si no está seguro, entonces no dude en preguntarle directamente al remitente si ha enviado el mensaje (contáctelo por los medios habituales, en vez de los indicados en el mensaje sospechoso).
- Y si no conoce al remitente, no clique en absoluto, especialmente si el título del archivo suena particularmente atractivo.
Tenga conciencia de sus objetos valiosos
Incluso si usted no es millonario, sin duda posee cosas que podrían interesarle a los cibercriminales:
- Sus datos (que se pueden vender en la dark net),
- Algún acceso a software que tenga en la compañía para la que trabaja,
- Cuentas muy detalladas de redes sociales, con muchas fotos y comentarios que revelan lo que le gusta, las causas que apoya, etc. Esto significa que relativamente sencillo hacer un perfil suyo y determinar la estrategia adecuada para atacarle. Por tanto, tenga cuidado con lo que comparte en las redes sociales.
Tómese el tiempo necesario para revisar sus privilegios, sus comunicaciones en la red e intente comprender el potencial que le ofrece a cualquier estafador. Estar más consciente de esto puede mejorar su capacidad de detectar las estratagemas de ingeniería social.
Más información acerca de las estafas de ingeniería social.
La ingeniería social abusa de las debilidades humanas, así que la formación y capacitación son claves para evitar los ataques de ingeniería social. Consulte estos artículos para descubrir todavía más acerca de cómo evitar las estratagemas de ingeniería social:
- 11 consejos para evitar los mecanismos de ingeniería social
- Los 7 mayores errores de seguridad para correo electrónico que se deben evitar
- Nuestro curso de concienciación acerca de la seguridad y la privacidad es, seguramente, la mejor herramienta para aprender acerca de la ciberseguridad.
Use software de seguridad para evitar los correos de phishing y el spam
Para proteger su dispositivo y sus datos contra ciberamenazas e intentos de intrusión, debe usar un antivirus y hacer respaldos frecuentemente.
Pero también debe usar una solución de correo electrónico seguro para garantizar que los mensajes en su bandeja de entrada no contengan malware u otros elementos malintencionados, para bloquearlos si se da el caso.
Además, los correos electrónicos son la puerta de entrada perfecta para los hackers. ¿Por qué no fortalecer la seguridad de su cuenta de correo electrónico con cifrado, firmas digitales y 2FA?
¿Por qué no suscribirse ahora mismo a un plan gratuito y probar lo fácil que es usar Mailfence?
