Qué es la ingeniería social

spam

Muchas veces, cuando hablamos de algunos de los ataques informáticos más comunes, se menciona la utilización de métodos de ingeniería social como fundamentales para que los cibercriminales hayan conseguido sus objetivos.  De hecho, según algunas estimaciones, en más del 80% de las brechas de seguridad, son los propios usuarios los que facilitan que los hackers accedan a datos sensibles, y el uso de técnicas de ingeniería social es responsable de una parte importante de estos errores humanos.

Porque, aunque el término ingeniería puede llevarnos a equívoco, y hacernos pensar que en este tipo de técnicas pueden estar implicados complicados cálculos o algoritmos matemáticos, la realidad es que está mucho más relacionado con la psicología y la utilización de la manipulación para conseguir que la víctima haga aquello que los hackers desean y facilite datos sensibles o la entrada a un determinado sistema.

En resumen, a través de engaños, los cibercriminales se hacen con la confianza del usuario, y consiguen que pinchen en un determinado enlace, visiten e introduzcan sus datos en una página fraudulenta, se descarguen archivos infectados con malware o, incluso, les faciliten el acceso a sus dispositivos o a los sistemas de una determinada empresa, entre otras.

Persuasión y manipulación

En realidad, aunque el término ingeniería social se identifica hoy en día, fundamentalmente, con la actividad de los cibercriminales, tiene su origen en las ciencias sociales, donde se refiera a cualquier esfuerzo de los factores de cambio, por ejemplo medios de comunicación o grupos de presión, para influir en el comportamiento de un determinado sector de la población, tanto en un sentido positivo, por ejemplo la promoción de la solidaridad, como negativo, la difusión de ideas xenófobas, por poner dos ejemplos.

Para manipular a los usuarios, los ciberdelincuentes pueden llevar a cabo diferentes tipos de acciones, todo depender del tipo de víctima y de sus objetivos.

Por ejemplo, en ataques masivos de phishing, los métodos no suelen ser muy sofisticados, y pueden limitarse a crear plantillas en los que imitan los mensajes de una determinada empresa de mensajería, entidad financiera… y a redactar un correo con un tono corporativo; pero en otros casos, llegan a estudiar a investigar con detalle a su víctima, para conseguir información que revele detalles sobre sus relaciones, sitios que frecuenta, amigos, fechas relevantes, puesto de trabajo, responsabilidades laborales etc.

Principales ataques informáticos que utilizan la ingeniería social

Aunque en algunos artículos se habla del Pretexting como un tipo de ingeniería social, la verdad es que es, en realidad, la base de cualquier tipo de ataque de este tipo: los ciberdelincuentes elaboran una historia ficticia, un engaño, con el fin de que la víctima comparta información o proporcione acceso a un sistema informático.

Para conseguirlo, los ciberdelincuentes utilizan los siguientes métodos para llegar a sus víctimas:

  • Phising

Como comentábamos en la segunda parte del artículo que dedicamos a las principales amenazas de seguridad más comunes en internet, se denomina phishing a un determinado tipo de ataques en los que se pretende engañar a los usuarios – cuantos más mejor, por eso suelen estar muy vinculados con el Spam- para obtener información confidencial, como credenciales o números de tarjeta de crédito.

Para ello, se envían mensajes (correos electrónicos, SMS…) en los que los cibercriminales se hacen pasar por una empresa o entidad muy conocida. Normalmente, piden a los usuarios que pinchen en un enlace para solicitar un regalo, realizar el seguimiento de un paquete, recuperar una contraseña, corregir un error etc.

Aunque en los últimos meses ha habido una auténtica avalancha de este tipo de mensajes, algunos de los cuales son fácilmente detectables como phishing, lo normal es que los hackers hagan todo lo posible para resultar creíbles.

Para ello, intentan dar una imagen de “oficialidad” a sus mensajes, imitando la imagen corporativa de la empresa y utilizando un tono similar al de los mensajes que envían este tipo de entidades. Además, si el enlace nos dirige a una página web, suele ser una copia bastante exacta de la web oficial de la empresa a la que intentan suplantar.

En algunos casos ese enlace nos dirigirá directamente a un sitio malicioso que inicia una descarga de malware.

  • Whaling y spear fishing:

Son dos tipos de fishing, aunque es este caso se dirigen a una persona concreta. Esto hace que requiera un trabajo previo mayor por parte de los criminales, que analizarán a la persona a la que intentan manipular, recogiendo el mayor número de datos posible sobre su situación personal y profesional y sus relaciones sociales y laborales, con el fin de no despertar ningún tipo de dudas sobre la veracidad de los mensajes.

En el caso del whaling, los ataques se dirigen directamente a mandos intermedios o directivos de empresas, y tienen como objetivo conseguir datos sensibles de la entidad o conseguir acceso a sus sistemas.

Por su parte, el spear fishing, puede estar dirigido a cualquier tipo de persona, independientemente de su situación laboral, y tiene como objetivo generar confianza para que proporcione datos personales o acceso a sus dispositivos personales.

  • Baiting

En este caso los ciberdelincuentes dejan en algún lugar accesible un USB infectado con malware, con el fin de que la víctima lo conecte a su ordenador, e instale de manera involuntaria el software malicioso que contiene el dispositivo.

  • Quid Pro Quo

Del latín “un favor por otro favor”, quid pro quo es un tipo de ingeniería social en el que los hackers suplantan a una persona o empresa legítima y obtienen información confidencial ofreciendo a sus víctimas algún tipo de servicio. Normalmente, para este tipo de estafas se hacen pasar por algún tipo de servicio técnico o de calidad, y piden credenciales o solicitan la instalación de un programa -que en realidad es malware. De este modo, consiguen el acceso al dispositivo y a todos los datos que en él se almacenan.

Cómo protegerse de los ataques de ingeniería social

La principal característica de este tipo de ataques es que los hackers no irrumpen en el sistema por la fuerza, sino que son los propios usuarios los que les facilitan el acceso a sus cuentas y dispositivos, por ello, para protegernos de estos ataques:

  • Los servicios técnicos de las empresas o de las compañías de las que somos clientes o que nos proporcionan algún tipo de servicio nunca nos pedirán que les proporcionemos por teléfono o a través de un sistema de mensajería credenciales o datos de la tarjeta de crédito. Así que hay que desconfiar de cualquier mensaje que los soliciten o que nos lleven a algún formulario en el que tengamos que aportar esos datos.
  • Es conveniente evitar compartir información sensible en redes sociales.
  • No abrir archivos adjuntos ni pinchar sobre enlaces enviados desde correos de fuentes desconocidas o que resulten sospechosos.
  • Desconfía de las ofertas gangas y de los regalos, especialmente si para conseguirlos solicitan que rellenes formularios en los que debes incluir datos sensibles que dan acceso a cuentas de correo o números de tarjeta. Si tienes dudas, una búsqueda simple o entrar en la página oficial de la empresa, que supuestamente te ofrece ese regalo o descuento, puede librarte de convertirte en una víctima más de este tipo de ataques.
  • Nunca conectes a tu ordenador un dispositivo que no provenga de una fuente conocida.
  • Instala las actualizaciones de seguridad de tu antivirus, ya que facilitará la detección de cualquier software malicioso que hayas podido instalar en tus dispositivos, en caso de que los cibercriminales hayan conseguido engañarte.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Blue Captcha Image
Refrescar

*