Esta técnica de manipulación psicológica es especialmente eficaz cuando la gente está distraída buscando gangas y puede ser menos consciente de los intentos de estafa. Durante los periodos de compras más concurridos, comprender las sutilezas de la ingeniería social es más importante que nunca. Tómese su tiempo para informarse antes de realizar cualquier compra en línea durante este periodo.

También conocida como hacking psicológico, la ingeniería social es un conjunto de prácticas basadas en manipular y explotar las debilidades humanas con el fin de engañar, robar y estafar. Kevin Mitnick, célebre ex hacker cuya reciente muerte ha conmocionado a la comunidad, forjó su reputación explotando estas debilidades.

En la historia de la piratería informática, Kevin Mitnick desempeñó un papel decisivo en la popularización de este método. Su trabajo demostró hasta qué punto la vulnerabilidad humana podía ser una puerta de entrada a los ciberataques. Aunque el principio básico sigue siendo el mismo desde los años 80, los medios para conseguirlo se han mejorado y diversificado mucho. En honor a Kevin Mitnick y a su innegable impacto en este campo, aquí exploramos el concepto de ingeniería social, sus métodos y cómo protegerse contra ellos.

Ingeniería social: errar es humano.

Somos conscientes de que muchos de ustedes llegarán al final de esta introducción sintiéndose lo suficientemente informados como para no dejarse engañar por un email falso, un enlace dudoso o un anuncio burdo. Sin embargo, queremos llamar su atención sobre el hecho de que, en muchos casos, los internautas suelen entrar en pánico cuando se topan con ciertas invitaciones, y es entonces cuando se comete un error. Es más, utilizar la mejor VPN no le ayudará en absoluto, ya que la ingeniería social se basa en el comportamiento humano para exigir una acción concreta.

Phishing, una forma común de ingeniería social

Los piratas informáticos son cada vez más creativos a la hora de desarrollar tácticas para influir y engañar a las personas con el fin de obtener datos confidenciales. El phishing es uno de los principales métodos utilizados. Los vectores de ataque son los SMS, las redes sociales y, la mayoría de las veces, el email.

El escenario, aunque muy familiar, es más eficaz que nunca. El atacante se pone en contacto con su víctima potencial, normalmente haciéndose pasar por una empresa cuya legitimidad no se cuestiona (un banco, una compañía eléctrica, etc.).

El mensaje es siempre urgente y se basa en problemas de seguridad de la cuenta, impagos o reembolsos, y siempre va seguido de un requerimiento en el que se pide al objetivo que actúe rápidamente para evitar consecuencias desafortunadas. Por regla general, el internauta debe hacer clic en un enlace malicioso y facilitar información confidencial.

Así es como suele funcionar:

El email inicial: recibes un email que parece ser de una empresa legítima con la que haces negocios, como tu banco, un servicio de streaming como Netflix o un servicio de email como Google. El email suele informarle de un problema urgente con su cuenta que requiere su atención inmediata.

El enlace: el email contiene un enlace a lo que parece ser el sitio web de la empresa. Sin embargo, si te fijas bien en la URL, verás que no coincide exactamente con la URL oficial de la empresa. Por ejemplo, en lugar de «www.netflix.com», la URL podría ser «www.netflix.billing-problem.com».

La página de inicio de sesión: cuando haga clic en el enlace, accederá a una página de inicio de sesión exactamente igual a la de la empresa legítima. Se le pedirá que inicie sesión con su nombre de usuario y contraseña.

Robo de información: Al iniciar sesión, el hacker registra sus datos de acceso. A continuación, puede utilizar esta información para acceder a su cuenta real y cometer fraudes, como robar dinero de su cuenta bancaria o realizar compras en su nombre.

Gustos y colores…

Cuando se trata de ingeniería social, las estafas se crean a partir de datos estadísticos diseñados para acercarse lo más posible a la realidad de los internautas, y son muy variadas.

  • La sextorsión consiste en enviar un email con una nota de rescate. El email afirma que la webcam del usuario ha sido pirateada y que se enviarán imágenes comprometedoras a todos los contactos de la víctima si no paga.
  • La estafa de los vales suele consistir en un email, un mensaje de texto o un mensaje de Whatapp que se hace pasar por una gran marca e invita a los internautas a hacer clic en un enlace para beneficiarse de importantes descuentos. Una vez en el sitio falso, se pedirá a la víctima que introduzca sus datos para poder validar la oferta promocional.
  • El Amazon Day Prime también es un buen momento para recibir falsos emails promocionales en los que se pide a los usuarios que divulguen los datos de su cuenta personal. Otras grandes marcas también son suplantadas con regularidad, como Apple, UPS, FedEx y Microsoft.
  • Google Calendar también puede utilizarse como vector de ataque. El hacker lo utilizará para publicar eventos falsos en los que hay que hacer clic, registrarse y proporcionar datos confidenciales.

Cuestión de escala

Mientras que un simple anzuelo puede bastar a veces para engañar a los particulares, cuando se trata de empresas, se necesita un arpón. El Spread phishing o spear phishing es una técnica de ingeniería social muy selectiva capaz de causar enormes daños a una empresa.

El phishing generalizado es un poco más exigente en cuanto a los recursos que requiere, pero en primer lugar exige una investigación en profundidad de la empresa objetivo (normalmente empresas que manejan datos confidenciales a través de sus propios sistemas de información), de sus empleados y, más concretamente, de las nuevas contrataciones.

Los errores de seguridad de datos más comunes en las empresas suelen ser el resultado de un exceso de celo por parte de un empleado que quiere hacer lo correcto. Inexpertos y, por tanto, poco familiarizados con las distintas interfaces y procedimientos existentes, se convierten en los principales objetivos. Las VPN corporativas, incluso las más seguras y técnicamente avanzadas, no pueden hacer nada al respecto.
En el caso de empresas muy grandes y de objetivos que ocupan puestos estratégicos muy altos, el término utilizado es whaling. Esta técnica se dirige específicamente a los altos directivos y directores de la empresa, que suelen tener acceso a información especialmente confidencial.

Ingeniería social: el miedo en todos los sistemas

El miedo es una de las palancas más eficaces para crear pánico en las víctimas. De hecho, existe un método de ataque basado exclusivamente en el miedo. El miedo creciente a la ciberseguridad se ha convertido en un terreno especialmente fértil para los piratas informáticos.

Desde hace algunos años, las ventanas emergentes aparecen inesperadamente en las pantallas. Especialmente intrusivas y amenazadoras, alertan a los internautas de un fallo de seguridad y/o de la presencia de malware en su sistema y les ordenan que descarguen el software antivirus sugerido para solucionar el problema. En el peor de los casos, el usuario tendrá incluso que pagar para adquirir un virus que dará a los piratas informáticos acceso a toda la información confidencial del ordenador.

Otras técnicas de manipulación entran dentro de la ingeniería social, como el quid pro quo, la suplantación de identidad (pretexting) o el tailgating (abrir una puerta a alguien que ha olvidado su tarjeta de acceso o su código secreto).

Y si encuentras una llave USB en una cafetería, dásela al camarero o al encargado. Por surrealista que parezca, la llave podría contener malware oculto en archivos de música, por ejemplo. El cebo no sólo se utiliza en las películas, sino que también es muy conocido.

Por su propia naturaleza, la ingeniería social es independiente del sistema operativo que estés utilizando. Tanto si usas Windows, Linux o Mac, no eres inmune. El objetivo de los ataques de ingeniería social es explotar las vulnerabilidades humanas, no las del software. Ningún sistema operativo es inmune a estas tácticas.

Además, es importante señalar que la idea de que los Mac son inmunes a los virus es un mito. Aunque en el pasado los Mac han sido menos objetivo del malware, principalmente debido a su menor cuota de mercado en comparación con Windows, la situación ha cambiado. A medida que los productos de Apple han ido ganando popularidad, se han convertido en un objetivo cada vez más atractivo para los ciberdelincuentes.

Ingeniería social: conclusión

Sé siempre escéptico, aunque el mensaje que recibas sea urgente o aterrador. No se asuste y busque la forma de comunicarse directamente con sus contactos si se trata de su banco, por ejemplo. Compruebe siempre los enlaces y sitios web que visita, ya que ciertos detalles suelen delatar su autenticidad.

Tomás Gutiérrez

Experto en tecnología y defensor de la protección de datos, combinando pasión por la innovación y compromiso con la seguridad digital