Ingeniería social: manipulación y engaño
La ingeniería social es una de las técnicas más utilizadas por los ciberdelincuentes para engañar a las víctimas y hacerlas revelar información confidencial, atacar dispositivos con código maligno o acceder a sus cuentas digitales. En este artículo, vamos a ver qué es la ingeniería social, qué tipos de ataques existen, cuáles son los objetivos y las consecuencias de estos ataques, y cómo podemos protegernos de ellos.
¿Qué es la ingeniería social?
Çontinuando la serie de artículos sobre ciberseguridad vamos a ver la ingeniería social, que es la manipulación psicológica de las personas para aprovecharse de ellas usando emociones humanas: curiosidad, confianza, miedo, culpa o generosidad. Generalmente los ciberdelincuentes se hacen pasar por personas o entes legítimos, como amigos, familiares, empleados, clientes, bancos, organismos públicos o empresas de servicios, y utilizan diferentes medios de comunicación, como el correo electrónico, el teléfono, las redes sociales o los mensajes instantáneos, para contactar con sus potenciales víctimas y persuadirlas de que realicen alguna acción que les beneficie.
Todo esto conlleva una investigación previa de sus víctimas, buscando información personal o profesional que les permita personalizar sus mensajes y hacerlos más creíbles. También suelen aprovechan situaciones de actualidad, como crisis sanitarias, desastres naturales, eventos deportivos o sorteos, para captar la atención y el interés de las personas.
¿Qué tipos de ataques de ingeniería social existen?
Existen diferentes tipos de ataques de ingeniería social, según el método y el objetivo que persiguen los ciberdelincuentes. Te menciono algunos de los más comunes:
- Phishing: Consiste en enviar correos electrónicos, enlaces, mensajes y hasta imágenes que simulan entidades legítimas y el objetivo es robar la identidad, el dinero, la información de la víctima, o infectar su dispositivo con malware.
- Vishing: Es similar al phishing, pero se realiza mediante llamadas telefónicas de convencer al usuario de que revele información sensible, como contraseñas, números de tarjeta o códigos de seguridad, o de que realice alguna operación fraudulenta, como transferencias bancarias o compras online. También se usa para llamadas extorsivas para solicitar “pagos” a cambio de “seguridad”.
- Spear phishing: Es una variante del phishing que se enfoca en un individuo o una organización específica, y utilizan información obtenida de fuentes públicas o privadas, como redes sociales, bases de datos o correos electrónicos, para crear mensajes más convincentes y adaptados a los intereses o necesidades de la víctima. El objetivo suele ser el mismo que el del phishing.
- Whaling: Es otra variante del phishing dirigida a altos ejecutivos o directivos, a famosos y personajes públicos. Los ciberdelincuentes se hacen pasar por personas de confianza o autoridad, como socios, clientes, proveedores o empleados, y tratan de engañar a la víctima para que realice alguna acción que comprometa la seguridad o la reputación de la empresa, como revelar información estratégica, aprobar transacciones financieras o autorizar cambios en el sistema informático.
- Baiting: Consiste en ofrecer algún tipo de recompensa o incentivo a la víctima para que realice alguna acción que le perjudique. Por ejemplo, los ciberdelincuentes pueden dejar dispositivos de almacenamiento, como memorias USB o discos duros, dispositivos como teléfonos o tablets infectados con malware en lugares públicos o accesibles, como oficinas, cafeterías o aparcamientos, esperando a que alguien los use o los conecte a su computadora y se infecte. Otra variedad de Baiting es prometer regalos, premios, descuentos, empleos, promociones y que contienen enlaces o archivos maliciosos.
- Quid pro quo: Es similar al baiting, pero en lugar de ofrecer una recompensa, los ciberdelincuentes ofrecen una solución a un problema o una necesidad de la víctima. Por ejemplo, pueden llamar por teléfono a un usuario y ofrecerle asistencia técnica gratuita para resolver algún fallo en su ordenador, y pedirle que instale un programa que en realidad es un malware.
¿Qué objetivos y consecuencias tienen los ataques de ingeniería social?
Los ataques de ingeniería social pueden tener diferentes objetivos, según el tipo de ciberdelincuentes y el tipo de víctima. Algunos de los más habituales son:
- Robar información personal o financiera: La idea es utilizar la información robada para suplantar la identidad de la víctima, acceder a sus cuentas bancarias o de servicios online, realizar compras o contratar servicios fraudulentos, solicitar créditos o préstamos, o venderla a terceros en el mercado negro.
- Robar información corporativa o estratégica: Usar utilizar la información robada para obtener ventajas competitivas, sabotear o extorsionar a la empresa u organización víctima, o venderla a terceros interesados, como competidores, clientes, proveedores o medios de comunicación.
- Infectar dispositivos con malware: Mediante el código maligno controlar remotamente el dispositivo de la víctima, robar o borrar datos, espiar o grabar la actividad, bloquear o cifrar el sistema, o utilizarlo como parte de una red de bots para realizar otros ataques, como denegación de servicio o ransomware.
- Acceder a redes o sistemas informáticos: Obtener acceso para realizar las mismas acciones que con el malware, o para explorar o atacar otras partes de la red o del sistema, buscando vulnerabilidades o puntos débiles.
Las consecuencias de estos ataques pueden ser muy graves, tanto para las personas como para las empresas u organizaciones. Algunas de las más comunes son:
- Pérdida de dinero: Los ataques de ingeniería social representan un gran impacto económico para las víctimas, tanto por el dinero robado o estafado, como por el dinero invertido en recuperar o reparar los daños causados, o en pagar rescates o multas.
- Pérdida de información: Se puede perder gran cantidad de información, tanto personal como profesional, que puede ser irrecuperable o difícil de restaurar, y que puede afectar a su privacidad, seguridad o reputación.
- Pérdida de confianza: Secuelas psicológicas ya que las víctimas pueden verse afectadas en su autoestima, en su salud mental o en sus relaciones personales o laborales.
- Pérdida de oportunidades y problemas legales: Cuando ocurre un robo de identidad, la víctima puede sufrir diversas repercusiones serias como el deterioro de su imagen, la disminución de su competitividad, la interrupción de su actividad, perdida de reputación y hasta problemas legales su si identidad suplantada es usada para actos criminales.
¿Cómo podemos protegernos de la ingeniería social?
La mejor forma de protegernos de los ataques de ingeniería social es estar informados y alertas, y seguir una serie de buenas prácticas que nos ayuden a prevenir, detectar y reaccionar ante estos ataques.
La recomendación principal es que seamos cuidadosos con la información personal y profesional que compartimos en internet, especialmente en las redes sociales, estados de WhatsApp, historias de Telegram y nunca compartir información con nadie sin verificar que es quien dice ser y que trabaja o representa una entidad real.
En resumen, toda la información que subimos a internet, puede ser “armada” para dar herramientas a criminales para hacer ingeniería social de nosotros, nuestra familia y nuestra empresa, los tipos de ataques son variados y creativos, manipulan las emociones de las personas y las consecuencias pueden ser muy serias, no confíes ciegamente, no bajes la guardia y aprende a protegerte.