Ingeniería social: qué es y cómo identificarla
La ingeniería social es una técnica de manipulación psicológica usada por delincuentes para persuadir a las víctimas a revelar determinada información confidencial o a ejecutar una acción perjudicial.
Las tácticas de ingeniería social son sumamente eficientes porque los delincuentes, incluyendo a los cibernéticos, saben que engañar a la gente puede ser mucho más fácil que burlar las barreras de seguridad físicas o computacionales.
Y, probablemente, ya te hayas preguntado alguna vez: ¿pero por qué caemos en las mentiras de los delincuentes? Bueno, las causas son muchas: a veces, estamos distraídos, cansados o simplemente no identificamos el riesgo cuando se presenta.
Pero la verdad es que nosotros, los seres humanos, tenemos como características intrínsecas la empatía, que nos lleva a querer ser amigables, y la obediencia a la autoridad. Y estos son, justamente, los dos factores más explorados por los delincuentes para aplicar estafas de ingeniería social.
En la práctica
El objetivo de los delincuentes que usan la ingeniería social para engañar a las víctimas es, casi siempre, obtener algo en beneficio propio: recoger información para cometer fraudes o atacar sistemas; ganar dinero de forma rápida; robar identidades; y así sucesivamente.
¿Qué te parecería conocer algunas técnicas de ingeniería social que los delincuentes usan a menudo en la práctica?
Pretexting
Por medio del pretexting, traducido literalmente, un “pretexto”, el delincuente inventa una historia ficticia para manipular a la víctima, forzándola a ejecutar acciones que no realizaría en circunstancias “normales”. Generalmente, él se hace pasar por una persona confiable para lograr que la víctima crea en la farsa más fácilmente.
Por ejemplo, es posible que un estafador mande un e-mail a la víctima haciéndose pasar por el soporte de la empresa, alegando que se identificó un problema de seguridad en la computadora y que es necesario instalar un nuevo software de seguridad.
Otro escenario es aquel en el que el delincuente llama a la víctima simulando ser el representante de un banco y alegando que se identificó un movimiento sospechoso en la cuenta de su blanco. Entonces, según el malhechor, es necesario que la víctima proporcione información personal para confirmar si realmente es ella quien está usando la tarjeta.
El pretexting explora, fundamentalmente, la confianza.
Baiting
El baiting (en español, “señuelo”) es una técnica en la cual el ciberdelincuente elabora una trampa para atraer la atención de la víctima.
Una práctica común es dejar USB infectados con virus repartidos por un lugar por el cual circulen muchas personas, como la cafetería de la empresa o una oficina de coworking, esperando que una víctima curiosa lo conecte a su computadora de trabajo y, así, infecte los sistemas con malware.
Esta técnica también se usa digitalmente cuando los ciberdelincuentes ofrecen obsequios sorpresa o descuentos exclusivos en mensajes fraudulentos. A fin de cuentas, esas son solo armas para atrapar a las víctimas.
El baiting explora, fundamentalmente, la curiosidad.
Phishing
El phishing es una estafa en la cual los ciberdelincuentes envían comunicaciones electrónicas fraudulentas a las víctimas con el objetivo de que estas ejecuten alguna acción perjudicial para ellas mismas, ya sea proporcionar una información confidencial, clicar en un adjunto malicioso o transferir dinero a un estafador. Generalmente, el phishing viene acompañado de técnicas de pretexting y baiting.
Cuando el phishing se aplica por e-mail, a menudo el ciberdelincuente se hace pasar por una empresa legítima y alega que hay un producto en promoción a un precio increíble o que se identificó un problema en la cuenta, como un pago no realizado o un intento de invasión.
Cuando el phishing se opera vía mensajes de WhatsApp, el ciberdelincuente suele hacer de cuenta que es un conocido de la víctima y le pide a esta que transfiera cierta cantidad de dinero para ayudarlo a solucionar un problema urgente.
El phishing explora, fundamentalmente, el miedo, la ambición y la empatía.
Cómo identificar y evitar estafas de ingeniería social
Desafortunadamente, cualquier persona puede ser blanco de un estafador. Sin embargo, existen algunas formas de identificar y evitar las manipulaciones de la ingeniería social si un delincuente intenta aplicarlas contra ti.
1) Desconfía de ofertas que parezcan demasiado buenas como para ser verdaderas
Si alguien te ofrece algo que pareciera ser un negocio increíble, es probable que sea una estafa. Desconfía de inversiones con retornos garantizados y sin riesgos y de mensajes en los que se te comunique que has ganado un premio del cual ni siquiera tenías noticia.
2) No compartas información confidencial
Nunca compartas información confidencial, como contraseñas, credenciales de acceso, números de tarjeta de crédito, información de cuenta bancaria o datos personales, no importa cuán legítima o urgente parezca la comunicación.
3) Verifica las solicitudes y no confíes en remitentes desconocidos
Antes de clicar en un enlace, hacer una transferencia de dinero o compartir información, verifica con cautela cuál es la fuente de la solicitud. Si se trata de un remitente desconocido, opta por ignorar el pedido. Cuando sea un remitente conocido, entra en contacto con la persona por otros medios para chequear si la solicitud que supuestamente te está haciendo es verdadera.
4) Rechaza contactos no solicitados
Ya sea por e-mail, teléfono o WhatsApp, si alguien ha entrado en contacto contigo solicitándote algún tipo de información, seduciéndote con alguna oferta imperdible o alegando que necesitas entrar en contacto con algún tipo de soporte, opta por ignorar el mensaje. En caso de dudas, entra en contacto directamente con la persona o institución de que se trate para conocer más detalles de lo ocurrido.
Protege a tu empresa contra estafas de ingeniería social
Los colaboradores de las empresas son personas como otras cualesquiera y, por supuesto, también son potenciales víctimas de una estafa de ingeniería social. Por eso, es muy importante invertir en la concienciación en ciberseguridad de los colaboradores para que ellos aprendan a adoptar hábitos seguros en su día a día de trabajo, manteniendo a la organización protegida.
