“¡Hola! Me encuentro en una situación difícil. Me queda poco tiempo de vida y quiero depositarte mi dinero para que realices algo bueno con ello.“, seguramente recibiste algún mensaje similar en tu correo. Así que ya te has enfrentado a la ingeniería social. Los ciberdelincuentes utilizan cada vez más estos métodos para robar datos valiosos (incluidas tus finanzas), ya que el factor humano sigue siendo un eslabón débil en cualquier sistema de defensa.
Según las estadísticas, los ataques de ingeniería social aumentaron un 147% el año pasado. A continuación, te contaremos cuáles son tales técnicas y cómo protegerte de este tipo de ataque.
¿Qué es la Ingeniería Social y Cómo Surgió?
La ingeniería social (social engineering) o “ataque al individuo” es un conjunto de técnicas, métodos y tecnologías psicológicas y sociológicas que permiten obtener información confidencial.
Los ciberdelincuentes que utilizan estas técnicas en la práctica se denominan ingenieros sociales. Cuando intentan acceder a un sistema o a datos valiosos, explotan el eslabón más vulnerable: la persona. El ejemplo más sencillo es una llamada telefónica en la que un atacante se hace pasar por otra persona para intentar obtener información confidencial de la persona que llama, jugando con los sentimientos de ésta, engañándola o chantajeándola. Desgraciadamente, muchas personas siguen dejándose llevar por estas cañas de pescar y cuentan con confianza a los hackers sociales todo lo que necesitan saber. Y los estafadores tienen muchas técnicas y trucos en su arsenal. Hablaremos de ellos un poco más adelante.
Origen de la Ingeniería Social
La ingeniería social está ahora firmemente asociada a la ciberdelincuencia, pero en realidad el concepto se originó hace mucho tiempo y no tenía originalmente una connotación negativa pronunciada.
La gente ha utilizado la ingeniería social desde la antigüedad. Por ejemplo, en la antigua Roma y en la antigua Grecia se respetaba mucho a los oradores especialmente formados que eran capaces de convencer a sus interlocutores de su “error“. Estas personas participaban en las negociaciones diplomáticas y trabajaban en beneficio de su Estado.
Muchos años después, a principios de la década de 1970, empezaron a aparecer gamberros telefónicos que perturbaban la paz de los ciudadanos sólo por diversión. Sin embargo, se dieron cuenta de que era una forma relativamente fácil de obtener información importante. A finales de los años 70, los antiguos gamberros del teléfono se habían convertido en ingenieros sociales profesionales (se les conoció como “cantores“), capaces de manipular a la gente con su entonación para identificar sus complejos y miedos.
Sin embargo, cuando llegaron los ordenadores, la mayoría de los ingenieros cambiaron de perfil, convirtiéndose en hackers sociales, y los términos “ingeniería social” y “hackers sociales” se convirtieron en sinónimos.
Ejemplos Ilustrativos de Ingeniería Social
Un ejemplo de lo que puede hacer un hábil ingeniero social lo encontramos en la industria cinematográfica. Es posible que hayas visto la película Atrápame si puedes (Catch Me If You Can), basada en una historia real: la del legendario estafador Frank William Abignale Jr. A lo largo de cinco años de actividad delictiva, sus cheques falsos por un total de 2,5 millones de dólares acabaron circulando por 26 países de todo el mundo. Mientras huía de la justicia, Abignale demostró una notable habilidad para hacerse pasar por un piloto de avión, un profesor de sociología, un médico y un abogado.
A veces lo único que hay que hacer es pedirlo. Un ejemplo es el robo de 40 millones de dólares de The Ubiquiti Networks en 2015 (leer caso). Nadie hackeó los sistemas operativos ni robó datos: fueron los propios empleados los que infringieron las normas de seguridad. Los estafadores enviaron un correo electrónico en nombre de un alto ejecutivo de la empresa y pidieron a los financieros que transfirieran una gran suma de dinero a una cuenta bancaria determinada.
En 2007, uno de los sistemas de seguridad más caros del mundo fue hackeado, sin violencia, sin armas, sin dispositivos electrónicos. Un intruso se llevó simplemente 28 millones de dólares en diamantes del banco belga ABN AMRO gracias a su encanto (leer caso). El estafador, Carlos Héctor Flomenbaum (alias), un hombre con pasaporte argentino robado en Israel, se había ganado la confianza del personal del banco un año antes del incidente. Se hizo pasar por un hombre de negocios, hizo regalos, en fin – estableció la comunicación. En una ocasión, los empleados le dieron acceso a una bóveda secreta de gemas valoradas en 120.000 quilates.
¿Y te enteraste de que Victor Lustig no sólo llenó los Estados Unidos de billetes falsos y dejó a Al Capone “en la estacada”, sino que también vendió la Torre Eiffel, la joya de la corona de París? Dos veces, por cierto 😉 (leer caso). Todo esto fue posible gracias a la ingeniería social.
Todos estos ejemplos reales de ingeniería social demuestran que se adapta fácilmente a cualquier entorno y a cualquier condición. Jugando con las cualidades personales o la falta de habilidades profesionales de una persona (falta de conocimientos, ignorar instrucciones, etc.), los ciberdelincuentes literalmente “hackean” a una persona.
Las Técnicas de Ingeniería Social más Populares
Se pueden utilizar muchos escenarios para atacar a una persona, pero hay algunas técnicas comunes utilizadas por los ciberdelincuentes.
Phishing
- Sentimiento jugado: falta de atención
El método de recogida de datos de los usuarios para su autorización suele ser el envío masivo de correos electrónicos. En un escenario clásico, la víctima recibe un correo electrónico falso de una organización conocida que le pide que siga un enlace e inicie sesión. Para ganar credibilidad, se inventan algunas razones de peso para seguir el enlace, por ejemplo, piden a la víctima que renueve la contraseña o que introduzca alguna información (nombre, número de teléfono, número de tarjeta bancaria e incluso un código CVV).
Y parece que la persona hace todo lo que dice la carta, pero… ¡le pillan! Los delincuentes han pensado en todos sus movimientos, por eso consiguen que la gente haga lo que ellos quieren.
Lea más sobre cómo reconocer un sitio de phishing y protegerse del mismo en este post.
Troya
- Sentimiento jugado: la codicia
El virus no recibe su nombre del caballo de Troya del mito griego por nada. En este caso, el cebo es un mensaje de correo electrónico que promete beneficios rápidos, ganancias u otras “montañas de oro”, pero el resultado es un virus que los atacantes utilizan para robar tus datos. ¿Por qué este tipo de robo de datos se llama ingeniería social? Porque los creadores del virus saben cómo disfrazar el malware para que hagas clic en el enlace, descargues y ejecutes el archivo.
Quid pro quo
- Sentimiento jugado: credulidad
O «algo por algo», del latín quid pro quo. Mediante esta técnica, el atacante se hace pasar por un empleado de soporte técnico y se ofrece a solucionar los problemas del sistema, cuando en realidad no se ha producido ningún problema. La víctima cree que hay un problema y, siguiendo las instrucciones del hacker, le concede personalmente el acceso a información importante.
Pretexting
- Sentimiento jugado: credulidad
Otra técnica utilizada por los ciberdelincuentes es el llamado pretexting, o acción con guion. Para obtener información, el ciberdelincuente se hace pasar por un conocido que supuestamente necesita tus datos para una tarea importante.
Los ingenieros sociales se hacen pasar por empleados de bancos, servicios de crédito, soporte técnico o por un amigo o familiar, alguien en quien se confía por defecto. Para ser más creíbles, dan a la víctima potencial algunos datos sobre ella: su nombre, su número de cuenta bancaria, un problema real que haya tenido anteriormente con el servicio. Un ejemplo muy conocido son los “call center” negros, en los que los ciberdelincuentes disfrazados de empleados de grandes bancos llaman a los ciudadanos y los engañan para que les transfieran dinero.
Ingeniería social inversa
- Sentimiento jugado: credulidad, falta de atención
El objetivo de esta técnica es conseguir que la víctima se presente y proporcione al ingeniero social la información que necesita. Esto puede lograrse de varias maneras:
Implantación de programas informáticos especiales
Un programa o sistema empieza a funcionar correctamente al principio, pero luego se produce un fallo que requiere la intervención de un especialista. La situación está preparada para que el especialista al que se pide ayuda sea un hacker social. Al poner en marcha el software, el hacker realiza las manipulaciones necesarias para el hackeo. Y cuando se descubre el hackeo, el ingeniero social está por encima de toda sospecha (al fin y al cabo, te estaba ayudando).
Publicidad
Los atacantes pueden anunciar sus servicios como técnicos informáticos u otros especialistas. La víctima se pone en contacto con el ciberdelincuente y éste no sólo trabaja técnicamente, sino que también obtiene información a través de la comunicación con su cliente.
Cebo
El cebo es una parte clave de todas las formas de phishing y también de otras estafas: siempre hay algo para tentar a la víctima, ya sea un texto con la promesa de una tarjeta de regalo gratuita o algo mucho más lucrativo o salaz.
¿Cómo Protegerte de la Ingeniería Social?
Si no quieres convertirte en otra víctima de los ingenieros sociales, te recomendamos que observes las siguientes reglas de defensa:
- Mantente escéptico y vigilante. Presta siempre atención al remitente de los correos electrónicos y a la dirección del sitio donde vas a introducir información personal. Si se trata de un correo en el dominio de una gran organización, asegúrate de que es el mismo y no hay errores tipográficos. En caso de duda, contacta con el soporte técnico o con el portavoz de la organización a través de los canales oficiales.
- No utilices información sensible delante de otras personas. Los estafadores pueden utilizar el llamado shoulder-surfing -un tipo de ingeniería social en el que se roba información por encima del hombro de la víctima– espiando.
- No entres en sitios web sospechosos ni descargues archivos dudosos, ya que uno de los mejores ayudantes de la ingeniería social es la curiosidad.
- No utilices la misma contraseña para acceder a recursos externos y corporativos (de trabajo).
- Instala un antivirus: todas las soluciones antivirus más importantes llevan incorporado un escáner de malware.
- Familiarízate con la política de privacidad de tu empresa. Todos los empleados deben recibir información sobre cómo tratar a los visitantes y qué hacer si se detecta una intrusión ilegal.
- Y lee nuestros artículos sobre “Seguridad informática“, donde compartimos los mejores consejos útiles.
Libros de Ingeniería Social
Por último, nos gustaría presentarte algunos libros sobre ingeniería social, incluso como campo de conocimiento sociológico, para que puedas aprender más sobre el tema si lo deseas.
Estos libros contienen muchos consejos prácticos sobre cómo dominar las técnicas y métodos de manipulación más comunes. También conocerás las técnicas de ingeniería social más eficaces y aprenderás a reconocerlas y a defenderte de los ataques.
Libros sobre ingeniería social:
- El Arte de la Intrusión de Kevin Mitnick.
- Un fantasma en el sistema de Kevin Mitnick.
- Ingeniería social. El arte del hacking personal de Christopher James Hadnagy.
- Hacking con ingeniería social de S.L. Stack Overflow.
- Social Engineering: The Science of Human Hacking de Christopher Hadnagy.
- Practical Social Engineering de Joe Gray.
Recuerda que todo el mundo puede dominar el arte de controlar las acciones de los demás, pero estas habilidades deben utilizarse en beneficio de las personas. A veces es útil y conveniente orientar y empujar a las personas hacia decisiones que nos benefician. Pero, es más importante ser capaz de identificar a los hackers sociales y a los engañadores para no caer en sus redes; es más importante no ser uno de ellos.
