Ingeniería social: ¿qué es y cómo evitarla?

A causa de la pandemia, muchas organizaciones y empresas se han tenido que digitalizar de un día a otro y desplegarse rápidamente en sistemas a distancia para que los empleados puedan teletrabajar. Esto ha supuesto el aumento de cibercrímenes, ya que aprovechan del aumento de vulnerabilidades por la falta de seguridad para robar datos. Pero aunque en general creemos que el objetivo de los ciberdelicuentes son las multinacionales, son muchos los ataques directos al usuario particular. Así es como nace la ingeniería social. En este artículo te explicamos qué es y las técnicas de ataque más comunes. ¡Sigue leyendo!

Te puede interesar: Master en Ciberseguridad. Gestión y Análisis de la Seguridad Informática

¿En qué consiste la ingeniería social?

La principal causa del aumento de ciberataques es una mayor dependencia de la población a Internet. La ingeniería social es la base principal en la que se sustentan ataques como el phishing. Podríamos definirlo como un conjunto de técnicas que tienen el objetivo de engañar a los usuarios con principios como la reciprocidad, la urgencia, la confianza, la validación social o la autoridad. A través de estos conceptos los ciberdelincuentes construyen una estrategia de discursos con los que nos convencen para dar nuestros datos personales.

Con los años este tipo de ataques se han sofisticado, y lo que antes podía ser una campaña de spam multitudinaria para ver si alguien caía, ahora sus objetivos finales son concretos. Realizan búsquedas en internet para recabar toda la información posible de una empresa o de una persona para construir mensajes muy personales y, por lo tanto, más creíbles.

Por eso, estar informados se ha convertido en el mejor método para evitar ser una víctima en Internet, ya que es muy difícil detectar estos fraudes. Tener conocimientos de mínimos de informática y de los peligros que corren por la red, así como ser conscientes del valor de los datos personales que hacemos públicos, es fundamental. Cuanto más cautos seamos, más difícil será engañarnos. Dentro de lo que conocemos como ingeniería social podemos distinguir dos grupos:

• Hunting: Los ataques clasificados como Hunting son aquellos que buscan obtener información específica del objetivo con la menor exposición posible. Obtener algo y desaparecer. Son comunes en campañas de phishing y de infección por malware.

• Farming: Es lo contrario de los ataques hunting. Es decir, en este caso lo que se busca es mantener el engaño el mayor tiempo posible para exprimir al máximo a la víctima, ya sean conocimientos, recursos o su posición.

Técnicas de ataque

Como hemos mencionado anteriormente, a menudo los ciberdelincuentes se basan en varias técnicas para manipular a sus víctimas, a pesar de ser multitudinarias, sí existen unos patrones.

Principios básicos

Según el INCIBE (Instituto Nacional de Cibserseguridad) suelen seguir los siguientes principios básicos:

• Voluntad de ayudar: Aprovechándose de la buena intención de los trabajadores para ayudar a sus compañeros, los ciberdelincuentes utilizan esta voluntad para, por ejemplo, hacerse pasar por un falso empleado de la organización o por un informático para dejar que se meta en tu ordenador de forma remota.
• Respeto social: Se trata de una técnica que juega con el miedo de toda persona a no ser aceptado socialmente. Una de las formas de extorsión que más utilizan es amenazar al usuario con difundir un vídeo privado que en realidad no existe.
• Respeto a la autoridad: En estos ataques los delincuentes utilizan el respeto a nuestros superiores para ganar territorio. No solo de nuestro jefe en el ámbito laboral, sino también pueden hablar en nombre de la policía, por ejemplo.
• La gratuidad: Seguro que lo has visto alguna vez. Se basa en ofrecer un producto gratis a cambio de información privada. Suele llevarse a cabos en páginas web emergentes que aparecen cuando se navega por sitios poco seguros. También son fraudes comunes en redes sociales.
• Temor a perder un servicio: Se suele utilizar en campañas de phishing. Utilizan la excusa de existir repetidos accesos no autorizados o cambio en las políticas para forzar a la víctima a acceder a una página fraudulenta donde le roban información confidencial.

Técnicas de ataque

En cuanto a las técnicas de ataque de ingeniería social más conocidas según la INTERPOL, nos encontramos las siguientes:

• Phising, SMShing y Vishing: Son las más conocidas. Los estafadores utilizan correos electrónicos, mensajes de texto falsos o llamadas de teléfono pretendiendo ser una fuente creíble, como un banco, para intentar conseguir información personal o financiera.
• Fraudes relacionados con las telecomunicaciones: Se ha hecho muy común durante los últimos años. Un ciberdelincuente se pone en contacto con una víctima al azar y le convence de que es un conocido o alguien con autoridad para conseguir que les den dinero.
• Estafas «Business email Compromise»: Un delincuente hackea el correo electrónico para obtener información sobre los sistemas de pago de la empresa y luego engañan a los empleados para que hagan transferencias a sus cuentas bancarias.
• Estafa del amor: Ocurre cuando un criminal adopta una identidad online falsa para ganarse el afecto y la confianza de la víctima. Luego, el delincuente utiliza esa ilusión de una relación romántica o cercana para manipular o robarle a la víctima. Están presentes en muchas webs de citas y en las redes sociales.
• Boiler room: Se trata del nombre que se le atribuye a los entornos de ventas de alta presión. Este fraude se lleva a cabo mediante la venta remota, el telemarketing y la televenta, mediante el cual se presiona a las víctimas para que compren productos o inversiones sobre una premisa falsa.
• Sextorsión: Es una forma de explotación sexual, en el cual un usuario es chantajeado o inducido con una imagen o vídeo de sí misma desnuda o realizando actos sexuales. Generalmente se lleva a cabo por aplicaciones de mensajería por Internet o bajo perfiles falsos en redes sociales. En muchos casos ese material ni siquiera existe.

¿Cómo defenderse de la ingeniería social?

La forma más fácil de evitar este tipo de ataques es estar informado y saber que existen, así como desconfiar de todo aquello que pueda parecer extraño mientras navega por la red. Aunque utilizar un buen software antivirus es importante, también es fundamental ser muy cuidadoso. Por ejemplo, en el caso de recibir un correo electrónico y que se presenten como tus socios o proveedores, una buena práctica sería llamar a la oficina antes de responder al email o abrir cualquier enlace o archivo adjunto. Lo mismo en el caso de los familiares, asegúrate de que es verídico antes de responder en el caso de que sea sospechoso. En cuanto a datos bancarios, nunca reveles lo datos de tu tarjeta de crédito, cuenta bancaria o número de la Seguridad Social. Nunca deben estar en un email.

Software maligno

Por otro lado, además de manipularle emocionalmente, los ciberdelincuentes podrían intentar que instales un software maligno en tu ordenador. Algunos de estos programas pueden hasta monitorizar tu actividad, modificar archivos o robar datos personales. Es muy importante tener tu ordenador protegido. Asimismo, si localizas un perfil sospechoso o un comportamiento extraño en las redes sociales, por ejemplo, es importante denunciarlo y alertar sobre ello. No aceptes invitaciones de particulares con un número de amigos sospechoso y comprueba que si son marcas estas sean procedentes de las oficinales y no hayan sido creadas recientemente.

Por último, también es importante verificar la seguridad de las páginas web donde introducimos datos personales. Deben utilizar certificado de seguridad y utilizar el protocolo HTTPS.

¿Qué te ha parecido este artículo sobre ingeniería social? Deja tus comentarios y ¡comparte!

Y si quieres convertirte en un experto en ciberseguridad, fórmate con el Master en Ciberseguridad. Gestión y Análisis de la Seguridad Informática. Capacítate con las habilidades necesarias para la dirección y la gestión del entorno de la seguridad de sistemas y redes de información. ¡Te esperamos!