La ingeniería social es un concepto que no muchos conocen por ese nombre, pero en realidad lo más probable es que la mayoría de las personas que usan Internet hayan sido el objetivo de un ataque de ingeniería social al menos una vez. En esta ocasión te vamos a contar en qué consiste, cómo se puede prevenir y mucho más.
Contenido
La ingeniería social, explicado de forma sencilla, es el arte del engaño. Se trata de una manipulación que se ejerce contra una persona para tratar de acceder a información confidencial o para ganar acceso a un sistema. Puede aplicarse en el ámbito físico o en el digital, pero aquí debido a la temática de nuestro blog nos enfocamos más en lo segundo.
En lugar de hackear computadoras, se puede decir que los ingenieros sociales “hackean” a las personas. En este tipo de ataque, la víctima es engañada para romper los protocolos de seguridad tradicionales, y así lograr el robo de credenciales de acceso, instalar software malicioso u obtener acceso a sistemas restringidos.
La ingeniería social es una de las armas más poderosas que tienen los delincuentes de Internet a su disposición, y lamentablemente también es una de las más efectivas ya que ataca directamente al eslabón más débil que podemos encontrar en cualquier sistema de seguridad: el elemento humano.
La empresa de ciberseguridad Proofpoint indica que más del 70 % de las filtraciones de datos tienen su origen en ataques basados en técnicas de ingeniería social.
Dentro de la ingeniería social podemos identificar una serie de técnicas que los delincuentes pueden utilizar para engañar o manipular a sus víctimas, veamos cuáles son.
- Phishing: esta es quizá la más común. El phishing consiste en enviar un email o un mensaje que parece venir de una fuente legítima, pero en realidad contiene enlaces a sitios falsos para robar datos o bien puede contener archivos maliciosos.
- Pretexting: el pretexting o ataque de pretexto busca crear un escenario ficticio para así convencer a la víctima de revelar cierta información o realizar cierta acción que sale de la normalidad.
- Baiting: en este tipo de ataque se utiliza un cebo para engañar a la víctima. Se le puede ofrecer por ejemplo un software gratuito u otro tipo de producto que en realidad contiene un malware o que le llevará a una trampa.
- Tailgating: esta técnica es más vista en el ámbito físico pero puede ocurrir también en el ámbito digital. El tailgating consiste en entrar en una área restringida a la misma vez que una persona que sí tiene acceso, convenciéndole de que nosotros también tenemos acceso pero sin demostrarlo.
- Vishing: esta técnica se puede considerar como un phishing mediante voz, y es que justamente consiste en hacerse pasar por un empleado del banco o de alguna compañía para así robar datos a una víctima, hacer que instale un malware en su dispositivo, entre otros.
- Quid pro quo: este término viene del latín y significa “algo por algo”. El delincuente se hace pasar por un empleado de soporte o similar, y promete ayudar a la víctima con algún problema que pueda tener. La víctima por su parte, confiando en la otra persona, le brinda algo a cambio de su ayuda, generalmente información sensible, credenciales de acceso o similares.
Todas las técnicas de ingenería social se basan en la confianza, la curiosidad, la urgencia o el miedo, todas emociones que pueden nublar nuestro juicio y hacernos actuar de una manera que no lo haríamos normalmente.
¿Por qué es tan efectiva?
Como ya explicamos previamente, la razón principal detrás del gran éxito que tiene la ingeniería social es que apunta al eslabón más débil de un sistema de seguridad, es decir, las personas.
Mucha gente tiende a confiar en otras rápidamente, a responder a la autoridad sin más, o a actuar sin pensar en situaciones de mucha presión. Todo esto produce una mezcla explosiva que los atacantes saben utilizar a la perfección para sus propios beneficios.
Los delincuentes crean cuidadosamente las situaciones y mensajes para aplicar sus técnicas de ingeniería social, provocando reacciones diversas en la víctima y logrando engañarla para que piense que está ante una persona o situación legítima, cuando la realidad es completamente distinta.
En los últimos años, la efectividad de la ingenería social ha incrementado mucho debido a la disponibilidad de mayor cantidad de datos personales en Internet. Muchas personas sin saberlo revelan gran cantidad de información mediante el uso de ciertos servicios en la red y a través de las redes sociales.
Los ingenieros sociales pueden recoger toda esta información y utilizarla para realizar ataques muy elaborados y detallados contra víctimas particulares, al punto de que incluso personas con un transfondo en seguridad pueden ser engañadas fácilmente si no logran identificar a tiempo las señales de peligro.
Señales de peligro
¿Y cuáles son exactamente esas advertencias o señales de peligro? Hay varias, y cuantas más de ellas apliquen mayor es la probabilidad de que estemos ante un ataque de ingeniería social. Reconocerlas a tiempo es imprescindible para evitar un problema de seguridad.
Las solicitudes urgentes o inusuales suelen ser la primera señal, más aún si involucran dinero, tarjetas de crédito, credenciales de acceso o información confidencial.
Los mensajes con contenidos inesperados, como por ejemplo archivos adjuntos no solicitados o enlaces extraños, también son motivo de sospecha. Lo mismo aplica a mensajes mal redactados o con muchas faltas ortográficas, recordemos que entidades bancarias y compañías que brindan servicios suelen revisar dos veces sus mensajes antes de enviarlos.
Las solicitudes de información en forma amenazante y totalmente fuera de lo esperado también son otra señal de advertencia, y lo mismo aplica a solicitud provenientes de personas que no pueden comprobar su identidad.
Adicionalmente, las ofertas que son demasiado buenas para ser verdad suelen ser un cebo perfecto, y esto puede incluir productos gratuitos, ofertas laborales, premios y mucho más.
Es imprescindible ser escéptico y verificar que la fuente del mensaje es legítima. Para el caso de los mensajes recibidos vía email siempre es buena idea ver las cabeceras del correo recibido para poder constatar su origen.
La mejor forma de protegernos frente a un ataque de ingeniería social es ser precavidos y saber identificar las señales de advertencia ya mencionadas.
Para empezar, contar con una capacitación en seguridad, por más mínima que sea, ya nos otorga una gran ventaja. Incluso este artículo con toda la información que contiene sobre la temática es un excelente punto de inicio para después profundizar más en el tema si nos interesa.
A la hora de compartir información sensible, es buena idea implementar protocolos estrictos que requieran verificar la identidad de las personas que hacen la solicitud. En este caso se debe buscar un equilibrio entre seguridad y funcionalidad.
La autenticación multifactor (MFA) es una de las mejores formas de protegernos. Si bien el MFA no previene un ataque de ingeniería social, sí puede servirnos en los casos en que se requira un código de autenticación adicional para ingresar a una cuenta, ya que si un delincuente logró robar nuestras credenciales de acceso no podrá terminar de autenticarse.
Por otro lado, limitar la información que se comparte de forma pública siempre es una excelente idea, dando conocer solo lo que sea estrictamente necesario. Cuanta menos información sensible haya disponible públicamente, menos material le daremos a los delincuentes para planificar sus ataques.
Para el caso del phishing u otros ataques mediante email, siempre es buena idea disponer de un sistema antispam que pueda descartar los mensajes o marcarlos como spam al menos. Lo mismo aplica para el uso de un antivirus con protección en tiempo real, el cual puede detectar si descargamos un archivo peligroso o si estamos ingresando en un sitio web malicioso.
Recordemos que la ingería social es un ataque directo a las personas, así que cuanto más podamos educarnos en asuntos relacionados a la seguridad menos posibilidades habrá de que seamos víctimas de este tipo de maniobras.
Las empresas que deseen blindarse contra este tipo de ataques deben impartir charlas o jornadas de capacitación para sus empleados, enseñando varios de los conceptos ya explicados aquí, como por ejemplo en qué consiste la ingeniería social, cómo podemos identificar las señales de advertencia y cómo podemos protegernos.
Conclusión
La ingeniería social no es solo un problema técnico, sino principalmente humano. Por eso, entender cómo funciona y aprender a detectar sus señales es imprescindible para protegernos. A veces, un simple momento de desconfianza puede ser todo lo que necesitamos para evitar caer en la trampa.
Ya sea a nivel personal o dentro de una empresa, invertir en educación y concientización sobre seguridad es una de las mejores defensas que podemos tener. Después de todo, mientras existan emociones como la urgencia, la curiosidad o el miedo, los atacantes van a seguir intentando aprovecharse de ellas, pero si estamos preparados, tendrán cada vez menos oportunidades.
