¿Qué es la ingeniería social?
Cuando pensamos en la ciberseguridad, la mayoría de nosotros pensamos en defendernos de los hackers que utilizan las debilidades tecnológicas para atacar las redes de datos. Sin embargo, hay otra forma de entrar en las organizaciones y redes, y es aprovechando la debilidad humana. Se trata de la ingeniería social, que consiste en engañar a alguien para que revele información o permita el acceso a redes de datos.
Por ejemplo, un intruso podría hacerse pasar por personal del servicio de asistencia informática y pedir a los usuarios que brinden información, como sus nombres de usuario y contraseñas. Y es sorprendente cuánta gente no duda en facilitar esa información, sobre todo si quien la solicita parece ser un representante legítimo.
En pocas palabras, la ingeniería social es el uso del engaño para manipular a las personas con el fin de que permitan el acceso o la divulgación de información o datos.
Tipos de ataques de ingeniería social
Hay varios tipos de ataques de ingeniería social. Por este motivo, es importante entender la definición de ingeniería social, además de saber cómo funciona. Una vez que se comprende el modus operandi básico, es mucho más fácil detectar los ataques de ingeniería social.
Baiting
El baiting implica la creación de una trampa, como una memoria USB cargada con malware. Alguien que quiere ver el contenido del dispositivo lo introduce en su unidad USB, lo que hace que el sistema se vea comprometido. De hecho, hay una memoria USB que puede destruir las computadoras al cargarse con la energía del puerto USB y luego liberarla en una gran sobretensión eléctrica, lo que daña el dispositivo donde se ha introducido. (la memoria USB solo cuesta 54 dólares).
Pretexting
Este ataque utiliza un pretexto para obtener la atención de la víctima e inducirla a que proporcione información. Por ejemplo, una encuesta por Internet podría parecer bastante inocente al principio, pero luego solicitar los datos de una cuenta bancaria. O bien, podría aparecer alguien con un portapapeles y decir que está haciendo una auditoría de los sistemas internos; sin embargo, tal vez no sea quien dice ser y podría querer robar información valiosa.
Phishing
Los ataques de phishing implican un correo electrónico o mensaje de texto que pretenden ser de una fuente de confianza y en los que se solicita información. Un tipo muy conocido es el correo electrónico que supone ser de un banco y quiere que sus clientes “confirmen” su información de seguridad y los dirige a un sitio falso donde se registran sus credenciales de acceso. El “spear phishing” apunta a una sola persona dentro de una empresa y consiste en el envío de un correo electrónico que pretende provenir de un ejecutivo de alto nivel de la empresa en el que se solicita información confidencial.
Vishing y smishing
Estos tipos de ataques de ingeniería social son variantes del phishing, “phishing de voz”, que consiste simplemente en llamados telefónicos para pedir datos. El delincuente puede hacerse pasar por un compañero de trabajo, por ejemplo, y fingir ser del servicio de asistencia informática para pedir información de acceso. El smishing utiliza mensajes SMS para tratar de obtener esta información.
Intercambio (in)justo
Dicen que “el intercambio justo no es un robo”, pero en este caso lo es. Muchos ataques de ingeniería social hacen creer a las víctimas que están recibiendo algo a cambio de los datos o el acceso que proporcionan. El “scareware” funciona de esta manera: promete a los usuarios de computadoras una actualización para hacer frente a un problema de seguridad urgente cuando, en realidad, el mismo “scareware” es la amenaza de seguridad maliciosa.
Envío de correo electrónico no deseado a contactos y hackeo de correos electrónicos
Este tipo de ataque consiste en hackear el correo electrónico o las cuentas de redes sociales de un individuo para obtener acceso a sus contactos. Podría decirles a los contactos que el individuo ha sufrido un asalto y ha perdido todas sus tarjetas de crédito, y pedirles que transfieran dinero a una cuenta. O bien, el “amigo” podría reenviar un “video que tienes que ver” que vincula a un malware o a un troyano keylogger.
Farming y hunting
Por último, debes tener en cuenta que algunos ataques de ingeniería social son mucho más avanzados. La mayoría de los enfoques simples que hemos descrito son una forma de “hunting”. Consisten, básicamente, en entrar, tomar la información y salir.
Sin embargo, algunos tipos de ataques de ingeniería social implican forjar una relación con la víctima para extraer más información durante un período más largo. Esto se conoce como “farming” y es más arriesgado para el atacante: hay más posibilidades de que lo descubran. Sin embargo, si su infiltración resulta exitosa, puede proporcionar mucha más información.
Cómo evitar los ataques de ingeniería social
Los ataques de ingeniería social son especialmente difíciles de contrarrestar porque están expresamente diseñados para jugar con las características naturales del ser humano, como la curiosidad, el respeto a la autoridad y el deseo de ayudar a los amigos. Hay una serie de consejos que pueden ayudar a detectar ataques de ingeniería social.
Comprueba la fuente
Tómate un momento para pensar de dónde viene la comunicación; no confíes ciegamente en ella. ¿Una memoria USB aparece en tu escritorio y no sabes lo que es? ¿De repente te llaman por teléfono para decirte que has heredado 5 millones de dólares? ¿Recibes un correo electrónico de tu director general en el que te solicita un montón de información sobre determinados empleados? Todo esto suena sospechoso y debe tratarse como tal.
Comprobar la fuente no es difícil. Por ejemplo, en el caso del correo electrónico, mira el encabezado y comprueba si hay correos electrónicos válidos del mismo remitente. Mira adónde van los vínculos. Los hipervínculos falsos son fáciles de detectar simplemente pasando el cursor por encima de ellos (¡pero no hagas clic en el vínculo!). Comprueba la ortografía: los bancos tienen equipos enteros de personas capacitadas dedicadas a desarrollar comunicaciones con los clientes, por lo que un correo electrónico con errores evidentes probablemente sea una falsificación.
En caso de duda, visita el sitio web oficial y comunícate con un representante oficial, quien podrá confirmar si el correo electrónico o mensaje son oficiales o falsos.
¿Qué es lo que saben?
¿La fuente no tiene información que esperarías que tuviese, como tu nombre completo, etc.? Recuerda que, si recibes un llamado del banco, ellos tienen todos esos datos enfrente y siempre harán preguntas de seguridad antes de permitirte hacer cambios en tu cuenta. Si no lo hacen, las posibilidades de que sea un correo electrónico, una llamada o un mensaje falsos son mucho mayores y debes tener cuidado.
Rompe el círculo
Con frecuencia, la ingeniería social depende del carácter de urgencia. Los atacantes pretenden que sus objetivos no piensen demasiado en lo que está pasando. Por eso, tomarse un momento para pensar puede disuadir estos ataques o demostrar lo que son: falsificaciones.
Llama al número oficial o usa la URL del sitio web oficial, en lugar de dar datos por teléfono o hacer clic en un vínculo. Usa un método de comunicación diferente para comprobar la credibilidad de la fuente. Por ejemplo, si recibes un correo electrónico de un amigo en el que te pide que le envíes dinero, escríbele un mensaje de texto a su móvil o llámalo para comprobar si es realmente él.
Solicita una identificación
Uno de los ataques más fáciles de la ingeniería social es burlar la seguridad para entrar a un edificio llevando una caja grande o cargado de carpetas. El cálculo es que no faltará una persona amable que mantenga la puerta abierta. No caigas en la trampa. Siempre pide una identificación.
Lo mismo se aplica a otros enfoques. Comprobar el nombre y el número de quien llama o preguntar: “¿Quién es tu jefe?” debe ser una respuesta básica a las solicitudes de información. A continuación, basta con consultar el organigrama o la guía telefónica de la organización antes de dar cualquier información privada o datos personales. Si no conoces al individuo que solicita la información y no te sientes cómodo compartiendo la información, dile que tienes que comprobarlo con otra persona y que volverás a comunicarte.
Utiliza un buen filtro de correo electrónico no deseado
Si tu programa de correo electrónico no filtra suficientes correos electrónicos no deseados o no marca los correos electrónicos como sospechosos, sería conveniente que modifiques la configuración. Los buenos filtros de correo electrónico no deseado utilizan diversos tipos de información para determinar qué correos electrónicos podrían ser no deseados. Podrían detectar archivos o vínculos sospechosos, podrían tener una lista negra de direcciones IP o identificaciones de remitentes sospechosas, o podrían analizar el contenido de los mensajes para determinar cuáles podrían ser falsos.
¿Esto es realista?
Algunos ataques de ingeniería social funcionan tratando de engañarte para que no razones, ya que, si te tomas el tiempo para evaluar si la situación es realista, puedes detectar muchos ataques. Por ejemplo:
- Si tu amigo realmente estuviera atrapado en China sin salida, ¿te enviaría un correo electrónico o también te llamaría o enviaría un mensaje de texto?
- ¿Acaso es probable que un príncipe nigeriano te haya dejado un millón de dólares en su testamento?
- ¿Llamaría el banco para pedir los datos de tu cuenta? De hecho, muchos bancos toman nota cuando envían correos electrónicos a sus clientes o hablan con ellos por teléfono. Así que, si no estás seguro, verifica.
No te apresures
Sé muy cuidadoso cuando percibas un carácter de urgencia en una conversación. Esta es una forma estándar que usan los actores maliciosos para evitar que sus víctimas reflexionen sobre el tema. Si sientes presión, actúa con calma. Di que necesitas tiempo para obtener la información, que necesitas preguntarle al gerente, que no tienes los datos correctos en ese momento... cualquier cosa para retrasar el proceso y tener tiempo para pensar.
La mayoría de las veces, los ingenieros sociales no tentarán a la suerte si se dan cuenta de que han perdido la ventaja de la sorpresa.
Protege tus dispositivos
También es importante proteger los dispositivos para reducir el impacto de los ataques de ingeniería social, en caso de resultar exitosos. Los principios fundamentales son los mismos, ya sea que se trate de un teléfono inteligente, una red doméstica básica o un sistema empresarial importante.
- Mantén tu antimalware y software antivirus actualizados. Esto puede ayudar a evitar la instalación del malware que llega a través de los correos electrónicos de phishing. Usa un paquete como Kaspersky Anti-Virus para proteger tu red y tus datos.
- Actualiza periódicamente el software y el firmware, en especial los parches de seguridad.
- No ejecutes tu teléfono en modo de rooting, ni tu red o PC en modo de administrador. Aunque un ataque de ingeniería social permita obtener la contraseña de tu cuenta de “usuario”, no podrán volver a configurar tu sistema ni instalar software en él.
- No uses la misma contraseña para varias cuentas. Si un ataque de ingeniería social permite obtener la contraseña de tu cuenta de redes sociales, no querrás que puedan desbloquear también todas tus otras cuentas.
- Para las cuentas importantes, utiliza la autenticación de dos factores, de modo que no baste con tener tu contraseña para acceder a la cuenta. Podría incluir el reconocimiento de voz, el uso de un dispositivo de seguridad, las huellas dactilares o los códigos de confirmación por SMS.
- Si acabas de revelar la contraseña de una cuenta y crees que podrías ser víctima de un ataque de ingeniería, cambia la contraseña inmediatamente.
- Mantente informado sobre los nuevos riesgos de ciberseguridad leyendo periódicamente nuestro Centro de recursos. De este modo, te enterarás de los nuevos métodos de ataque conforme vayan surgiendo, lo que reduce significativamente la probabilidad de que te conviertas en una víctima.
Piensa en las huellas que va dejando tu presencia digital
Tal vez también te haga falta pensar en los rastros digitales que quedan después de tu paso. Compartir en exceso información personal en Internet; por ejemplo, a través de las redes sociales, es una forma de ayudar a los atacantes. Por ejemplo, muchos bancos tienen el “nombre de tu primera mascota” como una posible pregunta de seguridad; ¿compartiste eso en Facebook? Si lo hiciste, eres vulnerable. Además, algunos ataques de ingeniería social tratarán de ganar credibilidad al remitirse a acontecimientos recientes que hayas compartido en las redes sociales.
Te recomendamos que cambies la configuración de tus redes sociales a “solo amigos” y que tengas cuidado con lo que compartes. No es necesario que seas paranoico, solo ten cuidado.
Piensa en otros aspectos de tu vida que compartes en línea. Por ejemplo, si tienes un currículum en línea, es conveniente que consideres eliminar tu dirección, tu número de teléfono y tu fecha de nacimiento, que representan datos útiles para cualquiera que esté planeando un ataque de ingeniería social. Si bien algunos ataques de ingeniería social no captan demasiado la atención de la víctima, otros se preparan meticulosamente. Ofréceles a estos delincuentes menos información con la que trabajar.
La ingeniería social es muy peligrosa porque toma situaciones totalmente normales y las manipula con fines maliciosos. Sin embargo, si eres plenamente consciente de cómo funciona y tomas las precauciones básicas, tendrás muchas menos probabilidades de convertirte en una víctima de la ingeniería social.
Vínculos relacionados
Definición de ingeniería social
Cómo penetra el malware en las computadoras y en los sistemas informáticos