Día de las Redes Sociales: lo que debes saber sobre ingeniería social

No hay cortafuegos ni antivirus que pueda ayudarte contra los ataques de ingeniería social. Es un engaño tan antiguo como el mundo, pero sigue funcionando.

Los empleados descargan archivos maliciosos, hacen clic en enlaces de suplantación, hablan con hackers y revelan los datos de contacto de sus colegas. La ingeniería social es todo un clásico entre las herramientas más potentes del ciberdelincuente.

El 30 de junio de 2010, Mashable impulsó el Día de las Redes Sociales para reconocer y conmemorar su impacto en la comunicación mundial. Y, aunque es cierto que tenemos mucho que agradecerles, las redes sociales también han traído consigo los timos en línea. Por eso, sin olvidarnos de lo bueno, debemos tener cuidado con lo feo y lo malo de la ingeniería social.

Las emociones como arma secreta

La ingeniería social es el arte de convencer a un usuario para que comparta de forma voluntaria contraseñas, su número de la seguridad social, datos bancarios u otra información privada. ¿Cómo lo consiguen?

Los psicólogos han descubierto que las personas tendemos a ignorar la lógica y los hechos cuando tomamos decisiones emocionales. Y esto es precisamente en lo que se especializan los delincuentes: provocar una respuesta emocional y aprovecharse de ella. En lugar de buscar vulnerabilidades en un programa, por ejemplo, es más sencillo llamar a un empleado haciéndote pasar por un colega del departamento informático y tratar de convencerlo para que revele su contraseña.

Estas técnicas también funcionan bien fuera del mundo virtual, donde delincuentes disfrazados de policías o comerciales han logrado estafar a infinidad de personas en la puerta de su casa.

Las personas son el punto débil: ¿son los empleados un talón de Aquiles?

Técnicas frecuentes entre los ingenieros sociales

Los ataques de ingeniería social consisten en recabar tanta información como sea posible sobre una persona concreta y una empresa (en caso de que la intención sea acceder a los datos confidenciales de la empresa). En esencia, actúan como si tú fueses un proyecto de investigación y obtienen datos sobre ti usando distintas tácticas:
Te buscan en Google (o en otros motores de búsqueda): cuanto más sepan sobre ti, más fácil será relacionarse contigo y lograr que confíes en ellos.
Te rastrean en las redes sociales: saber de qué grupos formas parte en Facebook, qué ves en YouTube, qué fotos te gustan en Instagram o qué pines tienes en Pinterest ayuda a los estafadores a crear escenarios más verosímiles para engañarte.
Ven qué contactos tienes
(en LinkedIn o en el sitio web de tu empresa) y averiguan la jerarquía de tu organización: así pueden hacerse pasar por un empleado de la compañía.

Ataques más comunes de ingeniería social

Suplantación de identidad

La suplantación de identidad representa el 90 % de todas las vulneraciones de datos. Cada mes, se crean cinco millones de sitios web de suplantación. Es una forma de ataque de ingeniería social que se suelen llevar a cabo en forma de correo electrónico, conversación de chat, anuncio o sitio web, en los que el atacante se hace pasar por un sistema o una organización reales. En el sitio web, pueden pedirnos que restablezcamos una contraseña o que introduzcamos nuestro número de teléfono, de la seguridad social o de la tarjeta de crédito. Aquí tienes más información sobre ataques de suplantación de identidad.

Pesca con arpón

La «pesca con arpón» es una variante de suplantación más selectiva, que se dirige a los altos cargos de empresas para robar datos y obtener acceso a información y herramientas internas. El delincuente incluso establece contacto directo con la víctima a través de, por ejemplo, el correo electrónico, haciéndose pasar por el administrador del sistema o usando un perfil de Facebook falso para que creamos que es un colega. A veces, los estafadores llegan incluso a llamar por teléfono a la víctima. Aquí tienes más información sobre la «pesca con arpón».

Quid pro quo

Esta locución latina se traduce como «una cosa por otra». En este caso, la víctima obtiene una ventaja a cambio de información. Un escenario común de ataque quid pro quo consiste en que los estafadores se hacen pasar por técnicos informáticos. Llaman a todos los empleados que pueden de una empresa para prometerles un arreglo rápido y les dicen: «solo hace falta que desactives el antivirus». En realidad, lo único que hacen es instalar un software malicioso en los equipos.

La ingeniería social en cifras

Un informe de 2018 realizado por la compañía estadounidense Verizon concluyó que, de los 41 686 incidentes de seguridad registrados en 2018, un 33 % tuvieron que ver con ataques de ingeniería social.

Otro informe, de Positive Technologies, reveló lo bien que funcionan, por norma general, estos ataques. Durante la investigación, enviaron 3300 correos electrónicos a empleados de distintas empresas y llegaron a las siguientes conclusiones:

  • Un 17 % de los ataques de ingeniería social tuvieron éxito y, de ser reales, hubieran podido poner en peligro los equipos de los empleados y, por tanto, la infraestructura de la empresa al completo.
  • Un 27 % de los empleados hicieron clic en un enlace de suplantación enviado por correo, lo cual convierte a estos ataques en la técnica de ingeniería social que mejor funciona. Parece que muchos usuarios son incapaces de detectar sitios web falsos.

Cómo evitar los ataques de ingeniería social

Son muy distintos a los virus y otros ataques clásicos. Aunque las soluciones de ciberseguridad, como Avira Free Security, no solucionan todos los problemas, sí que pueden detectar archivos adjuntos infectados, en la mayoría de los casos, y sitios web falsos, en muchos de ellos.

Nadie está a salvo de la «pesca con arpón», ni siquiera las compañías de antivirus

La mejor defensa frente a la ingeniería social no es técnica: eres tú. Facilita información para fines específicos, actúa con una dosis saludable de recelo y modera tu curiosidad.

  • No abras correos electrónicos ni adjuntos con procedencia dudosa.
  • No te creas los chollos tentadores. Cuando una oferta parece demasiado buena para ser cierta, probablemente no lo sea.
  • Usa la autenticación de varios pasos. Añadir una capa adicional de seguridad a las cuentas en línea no hace daño a nadie.
  • Usa una solución antivirus actualizada. No pierdas de vista los nuevos tipos de software malicioso. Más vale prevenir que curar.
  • No respondas a peticiones de información personal ni de contraseñas.
  • Rechaza cualquier consejo o ayuda que no hayas solicitado. Los ingenieros sociales te pedirán que les ayudes con información o se ofrecerán para ayudarte haciéndose pasar por técnicos informáticos, por ejemplo.

Seguro que todo esto te parece de sentido común, ¿a que sí? A ti no es tan fácil engañarte. Por desgracia, los ingenieros sociales son conocidos como los artistas del engaño: consiguen que cualquier persona se crea casi cualquier cosa. Si quieres ver a piratas reales en acción, mira cómo el ingeniero social David Kennedy camufla su número teléfono para que parezca que está llamando desde la propia compañía y engaña a un empleado para que haga clic en un enlace, lo cual le proporciona acceso a su equipo.

Este artículo también está disponible en: InglésAlemánFrancésItalianoPortugués, Brasil

Content Manager
Former journalist. Storyteller at heart.