¿Qué es exactamente Ingeniería Social?


La Ingeniería Social se basa en la manipulación psicológica y habilidades sociales, es decir, intenta lograr que las demás personas hagan las cosas que uno quiere que hagan y de esta forma cumplir las metas del atacante. Por ejemplo, podrías manipular a un policía de tránsito para evitar pagar la multa de un vehículo mal estacionado, o realizar las preguntas adecuadas brindando confianza para que la persona te proporcione información confidencial o la que tu quieras obtener 

En pocas palabras, es un arte que pocos desarrollan debido a que no todas las personas tienen habilidades sociales y está impulsada por personas que usan el engaño con el fin de violar los procedimientos de seguridad que normalmente debemos seguir.

Los ataques de Ingeniería Social comunes incluyen correos electrónicos de phishing, vishing (llamadas telefónicas de personas que se hacen pasar por una organización respetada) y baiting (del inglés “carnada”, donde el atacante carga unidades de USB con malware y luego simplemente espera que el usuario las conecte a su máquina).

La Ingeniería Social también se extiende a las búsquedas de empresas y de amigos en LinkedIn y Facebook respectivamente, donde los criminales utilizan las redes sociales para generar confianza y obtener datos. El resultado final es la extorsión o el robo.

También esta la práctica de ingresar ilícitamente a zonas seguras aprovechando la entrada de otra persona con autorización. Les permite robar credenciales privilegiadas o incluso asustar a las personas para que hagan un pago. La mayor parte del tiempo su objetivo final es robar dinero y datos o asumir la identidad de la víctima.

A continuación te mencionamos algunos aspectos que debes saber sobre la Ingeniería Social:

La Ingeniería Social es una antigua estafa que se manifiesta en diferentes ámbitos de la vida, por lo que sería un error pensar que se trata de algo nuevo o que solo se ve en el mundo en línea (internet). De hecho, se ha utilizado desde hace muchísimo tiempo. Hay numerosos ejemplos de delincuentes que se hicieron pasar por jefes del cuartel de bomberos, técnicos, exterminadores y personal de limpieza con el único propósito de entrar en el edificio de una empresa determinada y robar secretos corporativos o dinero. En los 90´s el vishing se hizo popular, seguido por el correo electrónico de phishing.
La calidad de las estafas varía ampliamente. Por cada atacante que envían correos electrónicos de phishing iguales a los auténticos o que hacen llamadas de vishing, habrá muchos otros que hablan mal el idioma, que tienen argumentos sin lógica e información confusa.
Probablemente ya te hayas cruzado con una serie de estos: en los correos electrónicos dudosos de algún banco, o en los que aseguran que te ganaste la lotería o un premio, hay muchos ejemplos de intentos lamentables de fraude.
Lo más preocupante acerca de los ataques de este tipo es que no hay una advertencia inmediata, no hay ninguna señal clara de que te están atacando o de que tu equipo fue infectado. La mayor parte del tiempo, los delincuentes llevan a cabo su ataque, roban los datos que buscan y luego desaparecen. Y si se trata de robo de datos probablemente nunca te enteres y mucho menos si tus datos se están vendiendo ilegalmente en la Dark Web.
La Ingeniería Social afecta a todos, pero los estafadores la utilizan cada vez más para atacar las grandes corporaciones y las PyME.
2014 se describió como el año en que los cibercriminales pasaron al sector empresarial. Un informe de la industria de principios de 2015 reveló que se está usando la ingeniería social para atacar específicamente a los mandos medios y altos ejecutivos. Las redes sociales, en especial LinkedIn, es una mina de oro de donde puedes sacar los datos de los mandos medios y altos ejecutivos.


¿Cómo protegerse de los ataques de ingeniería social?

Los personas que están detrás de las estafas de ingeniería social casi siempre brindan confianza al ser amables y mostrar voluntad de ayudar a sus víctimas, la mejor manera de protegerse es ser un poco más desconfiado en el entorno.

Si alguien te envía un email y dice que es uno de tus proveedores o socios comerciales, debes llamar a su oficina antes de responder a su email o abrir cualquier enlace o archivo adjunto que puedan contener. También si un email supuestamente enviado por tu amigo parece sospechoso, llama a tu amigo primero para asegurar que fue él quien te lo envió. Con quien sea que intercambies mensajes, nunca reveles los datos de tu tarjeta de crédito, los detalles de tu cuenta bancaria, el número de Seguridad Social o cualquier otra información personal, en un email.

Los que hacen ingeniería social a menudo intentarán hacerte instalar software malicioso en tu computadora. Dependiendo del tipo de software, puedes permitirles monitorear tus actividades, copiar y eliminar tus archivos y otros datos, así como robar tus contraseñas, detalles de la tarjeta de crédito y cualquier otra información sensible. Para prevenir esto, debes usar el software antivirus que indique y elimine fácilmente software malicioso y mantener tu equipo de computo  protegido de amenazas potenciales.

Te dejamos unos casos reales de ingeniería social:

  • En 2017 más de un millón de usuarios de Google Docs recibieron el mismo email de phishing que informaba de que uno de sus contactos estaba intentando compartir un documento con ellos. Hacer clic en el enlace les llevaría a una página falsa de registro de Google Docs, donde muchos de los usuarios introdujeron sus datos de registro de Google. Esto, en cambio, dio a los hackers el acceso a más de un millón de cuentas de Google, entre emails, contactos, documentos online y copias de seguridad de smartphones.
  • En 2013 los hackers consiguieron robar los detalles de las tarjetas de crédito de más de 40 millones de clientes de Target. De acuerdo con los datos oficiales, los hackers primero investigaron al servicio subcontratado de aire acondicionado de la importante cadena de grandes almacenes y atacaron a sus empleados con emails de phishing. Esto permitió a los hackers acceso a las redes de Target y robar la información de los pagos de los clientes. Aunque el perpetrador nunca fue capturado, Target tuvo que pagar 18.5 millones de dólares en 2017 para resolver las denuncias estatales.

Last modified: Friday, 11 June 2021, 11:10 AM