¿Han escuchado hablar de la ingeniería social informática? Aunque su nombre parezca inofensivo, ciertamente no lo es.
Seguro has oído sobre las leyendas del príncipe nigeriano. Son casi míticas
Este miembro de la realeza se encuentra en graves apuros. Puede ser una deuda millonaria, un sucesor al trono sediento de poder que busca sobornarlo, o un secuestro en una nave espacial durante años.
Aunque los motivos varían, los requisitos para ayudarlo no cambian. Siempre piden tus datos y una pequeña transferencia de dinero que retornará a tus cuentas luego de que solucione su conflicto familiar o espacial.
Mientras lees esto, puede parecerte tonto caer en una estafa de este tipo. Pero lo cierto es que esta clase de cibercrímenes siguen en aumento.
Durante el 2021, los ataques de Ingeniería Social Informática aumentaron casi un 25%. Los ciberataques se lanzaban con el objetivo de capturar cuentas de redes sociales para comercializar accesos a la dark web.
Aunque cuentes con un sistema de seguridad formidable, no estás exento de ser víctima de estas operaciones. El verdadero riesgo de cualquier sistema se encuentra detrás de la pantalla. Somos nosotros
La ingeniería social informática no es más que el arte de explotar la psicología humana en lugar de emplear técnicas de hacking. El objetivo es acceder a edificios, sistemas o bancos.
El término fue empleado, por primera vez en los 90, por Kevin Mitnick.
¿Por qué Kevin se destacaba de los demás hackers? Las habilidades informáticas quizás no eran mejores que las del resto de sus colegas. Pero su talento para engañar, interpretar personajes y acceder a lugares de jerarquía sin ser reconocido, lo destacaba del resto.
Justamente, esta es la base de la ingeniería social informática.
Entonces, ¿Cómo funciona la ingeniería social informática? Este tipo de ataques se basa en la explotación de características y sentimientos humanos universales
Los cuatro principios básicos que sigue la ingeniería social informática para atacar son:
- Voluntad de ayuda: Como en el ejemplo del príncipe nigeriano en apuros, a todos nos gusta ser parte de la solución. Nos moviliza la empatía hacia los problemas ajenos y nos gusta ayudar.
- Siempre confiamos en el otro: Pero, ¿Cómo puede ser posible esto cuando los usuarios de internet son tan desconfiados? Por eso, los ciberdelincuentes suelen robar la identidad de personas de confianza para nosotros.
- No nos gusta negarnos: El humano es bastante reticente al no. La curiosidad puede poner en serios riesgos la seguridad.
- Amamos que nos amen: Los halagos suelen ser el camino preferido de los ingenieros sociales. Ya que saben que al final, la persona terminará otorgando los accesos e información que necesita.
Ingeniería Social: Ejemplos en el área de la Informática
¿Cómo saber si estoy siendo víctima de un acto de este tipo? Te dejamos algunos ejemplos de ingeniería social informática para que puedas distinguirlos.
Ten en cuenta que aunque los motivos se diferencien, el objetivo final es siempre el mismo. Tus datos.
Este tipo de ataque de Ingeniería Social informática suelen ser los más sencillos de llevar a cabo. Normalmente, solo basta con enviar una gran difusión de correos electrónicos de pishing desde una fuente aparentemente fiable.
En algún momento, alguien distraído dará clic en el archivo que se adjunta y será la gran oportunidad del atacante.
2 | Spear Pishing, o acercamiento de alto contacto
El spear pishing es una variante del anterior. La única diferencia es que se realizan acercamientos de alto contacto.
Normalmente, son para objetivos muy específicos y codiciados. Donde no se puede dejar lugar al azar. Por eso ejecutan investigaciones profundas para generar una comunicación personalizada.
Las víctimas suelen ser personas adineradas o de alto rango.
Esta técnica de ingeniería social informática es propia también de otras formas de pishing.
Se utiliza un elemento que resulte atractivo para la víctima. Esta se le ofrece a cambio de que otorgue los datos privados de la persona. Puede ser una tarjeta de regalo o hasta una bonificación.
4 | ¿Cómo usan un Pretexto para llevar a cabo un ataque de ingeniería?
La diferencia con los anteriores ejemplos es que esta usa una historia para atrapar a la víctima. Mediante este relato, el ingeniero social puede conseguir puntos importantes para crear un relato creíble que logre engañar a la persona.
Este tipo de ataque reúne varias de las técnicas anteriores. La diferencia es que se apropia de la identidad de la persona para obtener datos confidenciales.
Así, desde su propia dirección de correo electrónico, o de uno muy similar, puede enviar mensajes hacia sus conocidos exigiendo una transferencia de dinero a las cuentas del atacante.
Entre los ejemplos de ingeniería social corporativa este es el más común.
En este caso, el ingeniero social finge ser un nuevo compañero que olvidó la contraseña o un nombre de usuario. O en su defecto, ser alguien de soporte técnico que necesita ayuda urgente.
Apoyados en la necesidad de ayudar de la persona objetiva, y con un poco de alabanzas, logra obtener la información que necesita.
7 | Smishing; uno de los casos más comunes
Este caso es uno de los más conocidos en la cotidianeidad.
La clave de esta técnica es la celeridad. Se le envía un mensaje a la víctima con la alarma de que un familiar o compañero sufrió un accidente. Pero para poder ayudarle se necesitan determinados datos.
La víctima, ante esta situación de estrés y emergencia, no suele reflexionar y otorga los datos sin problemas.
8 | Vishing; una variante preocupante
Este ejemplo de ingeniería social informática se utiliza mediante llamadas de voz.
El atacante realiza una llamada telefónica desde un número aparentemente confiable. Por ejemplo, un compañero, un organismo gubernamental, o inclusive compañías bancarias.
De esta forma, luego de una conversión amistosa, procede a pedirle datos personales o de la compañía donde trabaja.
Conclusión
En este artículo hemos visto los principales ejemplos de ingeniería social informática, existen otros como el doxing o tailgating que también pueden ser perjudiciales para las empresas. Conocerlos puede ser útil a la hora de vigilar nuestros comportamientos en línea. Es importante estar atentos a cualquier mensaje extraño que llegue a nuestros correos.
