De forma resumida, la Ingeniería Social es el ataque que hacen ciertos hackers o ciberdelincuentes que pretenden obtener datos de un usuario o administrador de una web para engañarlo. De esta manera, logran tener la información que ellos desean para poder utilizarla con fines maliciosos. A continuación, descubrimos más detalles sobre esta técnica que cada vez tiene más adeptos.
Contents
¿Qué es la Ingeniería Social? ¿Cómo funciona?
Esta práctica consiste en la obtención de tu información privada valiéndose para ello de la manipulación. De esta forma, el ciberdelincuente trata de ganarse tu confianza, logrando cosas como que ejecutes un software malicioso.
Además, puede hacer que le facilites contraseñas privadas o que hagas compras en páginas web fraudulentas. Esta técnica persigue obtener accesos, permisos e información que les facilite hacerte daño.
Igualmente, el principio de ellos es que en los sistemas el usuario es el eslabón más débil, y a pesar de que las máquinas tienen la posibilidad de ser engañadas, las personas son susceptibles de ser blanco de tácticas manipuladoras.
Por otra parte, existen varios tipos de ingeniería social que los hackers han creado para robar tus datos, dinero u otros bienes. Entre ellos, uno de los más comunes es el denominado phishing. Este consiste en el envío de correos con páginas fake que suplantan entidades conocidas como empresas de telecomunicaciones, bancos, etc. con el fin de recopilar datos personales delicados.
Aun así, los fraudes en internet utilizan múltiples técnicas y diferentes vías de entrada a malwares, sin embargo, la que es más común es la de obtener tu confianza.
¿Qué hace un Ingeniero Social?
Un ingeniero social, por lo general, emplea un teléfono o computadora para engañar a las personas fingiendo ser, por ejemplo, un compañero de trabajo, un cliente, un empleado de un banco o de otra empresa, un técnico, etc.
De esta forma, inventa una escena para llevarte a que le reveles información de ti o de tus acciones poco comunes. Para elaborar su mentira, este puede realizar investigaciones previas que le permitan conseguir la información que necesita, como tu número de seguridad social, datos bancarios o fecha de nacimiento.
Asimismo, puede suplantar a cualquier persona que pueda tener derecho a tu información personal, como por ejemplo: La policía, el banco, autoridades fiscales, compañeros de trabajo, etc.
En ocasiones, lo único que necesita es hablarte con un tono muy serio y tener capacidad de improvisación para responder a las preguntas que tú puedas realizarle.
La mejor manera de evitar ser víctima de los ingenieros sociales, es cuidando la privacidad de la información y no caer como víctimas de engaño de ofertas dudosas, haciendo lo siguiente:
- Ser cautelosos al proporcionar datos personales.
- Hacer ajustes en el correo para fortalecer filtros spam.
- Tratar de no responder email o llamadas telefónicas de fuentes desconocidas.
En este contexto de seguridad informática, los ataques de ingeniería social con frecuencia aparecen como un email o mensaje de texto o de voz, provenientes de una fuente o apariencia inofensiva.
Algunos de los ataques de ingeniería social más sonados de los últimos tiempos son: el ciberataque a Sony pictures en el año 2014, el ataque a Ethereum Classic Wallet en 2017 y el hackeo al correo electrónico en 2016 del partido demócrata estadounidense.
Recientemente, Twitter también fue centro de ataques de ingeniería social cuando las cuentas de Bill Gates, Elon Musk y Barak Obama fueron hackeadas para pedir bitcoins a sus seguidores.
Este es un ejemplo de que nadie en internet está exento de ser víctima de uno de estos ataques, incluso las personas y organizaciones que deberían tener las mejores defensas frente a estos, también pueden ser víctimas.
Es importante aclarar que la ingeniería social no solamente está en la web, también puede darse en persona como por teléfono, solo que continuamente es más frecuente en internet, ocurriendo muy a menudo a través de ataques de correo electrónico o estafas en redes sociales.
Incluso, los estafadores pueden fingir ser uno de tus contactos de confianza o alguna figura de autoridad para manipularte conseguir tus datos confidenciales.
Más allá de esto, te mostramos una lista con los términos más comunes que debes conocer en relación a las técnicas de engaño:
Sextorsión
El atacante te chantajea con distribuir tu contenido sexual en la web, aunque este no exista, si no cedes a su petición. Siendo está generalmente el cobro de dinero.
Pretexting
El estafador elabora una historia o escenario en el cual terminas dándole información personal.
Baiting
Pueden hacer que tú, a través de un cebó con software maligno, infectes tus dispositivos electrónicos.
Vishing
En este caso, son las llamadas telefónicas en las que el atacante finge ser un organismo o persona de confianza para que le proporciones información personal.
Smishing
A través de un mensaje de texto, te piden llamar a un número de tarificación o que ingreses a un enlace de un sitio web falso.
Shoulder Surfing
Significa “encima del hombro”, el atacante tiene suficiente con ver lo que publica para extraer información.
Dumpster Diving
Los buzos de basura, investigan la “basura” que dejas, que puede servirles para encontrar información que les sea de utilidad para atacar tu red informática. La “basura” puede ser: Currículums, estados financieros, facturas médicas, registros gubernamentales, entre otros documentos.
Quid pro quo
Aquí, te ofrecen obtener beneficios, como acceso gratis a programas de pago, merchandising, etc; a cambio de tus datos personales.
Los ingenieros sociales pueden buscar tu información para utilizar los datos de esto y robar tu identidad, mediante esta, cometen distintos tipos de fraudes y extorsiones a otros.
No solamente está en peligro tu dinero, sino que también estas personas pueden acumular deudas a tu nombre, a pesar de que son situaciones que podrían revertirse tal vez. De esta forma, pueden transcurrir días, semanas, o hasta meses hasta que logres limpiar tu nombre con las diferentes empresas u organismos en las cuales te haya comprometido.
Herramientas como un software antivirus puede que te ayuden, pero no son suficientes. La mejor manera de estar protegido de este tipo de ataques de ingeniería social es obtener productos antifraudes y aplicar medidas seguras en la navegación por Internet. Los softwares de detección de fraude han sido diseñados para proteger tus datos contra los ataques en línea, haciendo que la seguridad de tus transacciones electrónicas o el uso de servicios, como el correo electrónico, la mensajería instantánea y la navegación estén protegidos.
De igual forma, los diseñadores web utilizan estas herramientas para proteger tu página o tienda online ante algún ataque de compra fraudulenta. Entre los productos antifraudes más reconocidos están:
- Herramientas de filtrado.
- Antispam.
- Anti-pishing.
- Complementos o módulos de seguridad.
- UTM (Gestión Unificada de Amenazas).
Los ingenieros sociales confían en tu amabilidad y deseo de ayudar al otro, si ves que alguien intenta aprovecharse de estas dos cualidades tuyas, debes ser desconfiado en este mundo online. Si recibes un correo electrónico de algún amigo o conocido solicitando datos confidenciales, llama inmediatamente a ese amigo para estar seguro de que es él, posiblemente no lo sea y seas fruto de un ataque de ingeniería social.
Otro de los casos más frecuentes es recibir un email notificando que eres heredero de una gran fortuna. No respondas sin antes asegurarte de que la información y la fuente son veraces, puede tratarse de una estafa, y ese mensaje te llevaría hacia algún sitio web en el que serás víctima de fraude.
Son muchísimas las situaciones en las que los ingenieros sociales pueden engañarte, por eso debes tener mucho cuidado cuándo envías datos confidenciales por la Red. Uno de los mejores consejos es no enviar nunca datos bancarios por correo electrónico, las entidades nunca los solicitan.