El mayor punto débil de una estrategia de ciberseguridad es el ser humano, y la ingeniería social se aprovecha de la incapacidad del usuario para detectar un ataque. Y es que, a medida que las defensas se hacen más robustas, los ciberdelincuentes utilizan cada vez más técnicas de ingeniería social para explotar el eslabón más débil de la cadena de seguridad: las personas.

Y es que, los ingenieros sociales se centran en los seres humanos, más que en la tecnología, para reunir información útil y romper las barreras de protección.

La ingeniería social lleva la estafa a la era digital. A las interacciones personales para establecer una relación y seducir a los usuarios para que realicen determinadas acciones, se le une la falta de conocimiento de las formas en las que estos pueden hackearnos.

El resultado final es el mismo: la manipulación psicológica que lleva a entregar información sensible.

• ¿Qué es la Ingeniería Social?
• Historia y algunas estadísticas sobre la Ingeniería Social
• ¿Qué aspecto tiene un ataque de Ingeniería social?
• No te conviertas en una víctima. Consejos para evitarlo

¿Qué es la Ingeniería Social?

La ingeniería social es el término utilizado para un gran abanico de actividades maliciosas realizadas a través de las interacciones humanas. Utiliza la manipulación psicológica para engañar a los usuarios para que cometan errores de seguridad o faciliten información confidencial. En pocas palabras, es el arte de manipular en su más pura esencia a las personas para que nos den lo que queremos.

Los ataques de ingeniería social se producen en uno o varios pasos. En primer lugar, el agresor investiga a la víctima para recopilar la información de necesaria, como por dónde comunicarse con esta y los protocolos que debe llevar a cabo el ataque. 

A continuación, el atacante actúa para ganarse la confianza de la víctima y proporcionar las palabras adecuadas para romper la seguridad, como revelar información sensible o conceder acceso a determinado sitios.

Lo que hace que la ingeniería social sea especialmente peligrosa es que se basa en el error humano, más que en las vulnerabilidades del software o aplicaciones.

Los errores cometidos por los usuarios son mucho menos predecibles, por lo que son más difíciles de identificar y frustrar que un ataque basado en malware. Y es que es mucho más fácil engañar a alguien para que te dé su contraseña que intentar hackear su contraseña. 

Por ejemplo, un atacante podría llamar a un usuario objetivo y fingir ser un miembro del personal de soporte de IT para engañar al usuario para que de su contraseña.

 

Historia y algunas estadísticas sobre la Ingeniería Social

Engañar a los usuarios para que den información sensible no es nada nuevo en el mundo de la ciberseguridad. Lo único que ha cambiado es el método de ataque, las formas utilizadas para obtener información y los ataques de grupos organizados que incorporan otras amenazas como el phishing. 

El término ingeniería social fue utilizado por primera vez en 1894 por el industrial holandés JC Van Marken, pero es un método de ciberataque desde los años 90.

En los años 90, la ingeniería social consistía en llamar a los objetivos para engañarlos y que dieran sus credenciales o proporcionaran el número de teléfono fijo de una empresa.

En la actualidad, los atacantes utilizan la ingeniería social para engañar a los usuarios objetivo para que envíen millones de dólares a cuentas bancarias en el extranjero, lo que cuesta a las organizaciones auténticas cantidades de dinero en daños.

Algunas estadísticas sobre la ingeniería social muestran que:

• Es responsable del 98 % de los ataques
• En 2020, el 75 % de las empresas declararon haber sido víctimas de phishing
• El incidente cibernético más común en 2021 fue el phishing
• El coste medio tras una violación de datos es de 150 dólares por registro
• Más del 70 % de las violaciones de datos comienzan con phishing o ingeniería social
• Google registró más de 2 millones de sitios web de phishing en 2021
• Aproximadamente el 43 % de los correos electrónicos falsos suplantan a grandes organizaciones como Microsoft
• El 60 % de las empresas informan de la pérdida de datos tras un ataque de phishing con éxito, y el 18 % de los usuarios a los que se dirige son víctimas del phishing

Como la ingeniería social tiene tanto éxito, los ataques basados en el phishing y el robo de identidad han aumentado un 500% en los últimos años. Según la Oficina Federal de Investigaciones, la ingeniería social cuesta a las organizaciones 1.600 millones de dólares en todo el mundo. Las organizaciones pagan una media de casi 12 millones de dólares anuales por delitos de ciberseguridad.

Un componente importante del coste es el tiempo que tardan las organizaciones en detectar una violación de datos, que es una media de 146 días. 

¿Qué aspecto tiene un ataque de Ingeniería social?

Correo electrónico de alguien conocido

Si un delincuente consigue hackear o aplicar ingeniería social a la contraseña del correo electrónico de una persona, tendrá acceso a la lista de contactos de esa persona, y como la mayoría de la gente utiliza una sola contraseña en todas partes, probablemente también tenga acceso a los contactos de las redes sociales de esa persona.

Una vez que este tiene la cuenta de correo electrónico bajo su control, envía correos electrónicos a todos los contactos de la persona o deja mensajes en todas las redes sociales.

¿Cómo puedes caer en esto? pues parece que bastante fácil ya que el correo proviene de alguien conocido. Y es que, estos falsos correos pueden contener un enlace al que haces clic porque confías y tu dispositivo se infectará con malware, tomando este el control y recopilando la información de tus contactos y engañarlos igual que te engañaron a ti.

Lo mismo ocurre si ves que te llega un pdf, por ejemplo, de alguien que conoces. Harás clic y las puertas se abrirán para el hacker.

Correo electrónico de otra fuente de confianza

Los ataques de phishing son un tipo muy usado en esta estrategia de ingeniería social que imitan a una fuente de confianza e inventan un escenario lógico para entregar las credenciales de acceso u otros datos personales.

Aquí podemos encontrarnos con alguien que está atrapado en un país, le han robado, golpeado y está en el hospital. Necesita que les envíes dinero para poder volver a casa y te dicen cómo enviarlo.

También te pueden pedir que hagas una donación para su recaudación de fondos de caridad, o alguna otra causa o te presentan un problema que necesitan que verifiques introduciendo tus credenciales. Incluso hay casos de premios que has ganado de forma mágica y que piden que reclames.

Escenarios de cebo 

Estos esquemas de ingeniería social saben que si se cuelga algo que la gente quiere, mucha gente morderá el anzuelo. Estos se encuentran a menudo en sitios Peer-to-Peer que ofrecen una descarga de algo como una nueva película o música. Pero también se encuentran en las redes sociales o en sitios web maliciosos que se encuentran en los resultados de las búsquedas.

Respuesta a una pregunta que nunca tuviste

Los delincuentes pueden fingir que responden a tu "solicitud de ayuda". Eligen empresas que utilizan millones de personas, como una empresa de software o un banco.  

Si no utilizas el producto o el servicio, ignorarás el correo electrónico, la llamada telefónica o el mensaje, pero si por casualidad lo usas, hay muchas posibilidades de que respondas porque probablemente sí quieras ayuda con un problema.

Por otro lado, puede que ese problema que exponen no haya sido solicitado para solucionarlo, pero puede que tengas otro y al exponerlo estos se lanzarán a "ayudarte".

Crear desconfianza

Algunos tipos de ingeniería social consisten en crear desconfianza o iniciar conflictos. Estos quieren crear desconfianza en tu mente sobre alguien o algo para luego intervenir como héroes y ganarse tu confianza. Incluso pueden llegar a ser extorsionistas que quieren manipular información y luego amenazarte con revelarla.

Esta forma de ingeniería social suele comenzar con el objetivo de obtener acceso a una cuenta de correo electrónico, red social, chat, foro, etc. Lo consiguen mediante el pirateo, la ingeniería social o simplemente adivinando contraseñas muy débiles.

A continuación, esta persona puede alterar las conversaciones privadas utilizando técnicas básicas de edición y las envía a otras personas para crear drama, desconfianza, vergüenza, etc. También pueden utilizar el material alterado para extorsionar a la persona que han hackeado o al supuesto destinatario.

No te conviertas en una víctima. Consejos para evitarlo

Los ingenieros sociales manipulan los sentimientos humanos, como la curiosidad o el miedo, para llevar a cabo sus planes y hacer caer a las víctimas en sus trampas. Por lo tanto, ten en cuenta los siguientes consejos:

No abras correos electrónicos ni archivos adjuntos de fuentes sospechosas: si no conoces al remitente en cuestión, no tienes por qué responder a un correo electrónico. Incluso si lo conoces y sospechas de su mensaje, coteja y confírmalo.

Las ofertas extranjeras son falsas: si recibes un correo electrónico de una lotería o sorteo extranjero, dinero de un familiar desconocido o solicitudes de transferencia de fondos de un país extranjero para obtener una parte del dinero, está garantizado que se trata de una estafa.

Desconfía de las ofertas tentadoras: si una oferta suena demasiado suculenta, piénsalo dos veces antes de aceptarla. Buscar en Google el tema puede ayudarte a determinar rápidamente si se trata de una oferta legítima o de una trampa.

Utiliza la autenticación multifactor (MFA): una de las informaciones más valiosas que buscan los atacantes son las credenciales de los usuarios. El uso de la autenticación multifactor ayuda a garantizar la protección de tu cuenta en caso de que el sistema se vea comprometido, ya que necesitará algo más que solo tener tu contraseña. 

Mantén actualizado tu software antivirus: asegúrate de que las actualizaciones automáticas están activadas, o acostúmbrate a estar pendiente de ellas. Comprueba periódicamente que se han aplicado las actualizaciones y analiza tu sistema en busca de posibles infecciones.

Elimina cualquier solicitud de información bancaria o de contraseñas: si te piden que respondas a un mensaje con información personal, es una estafa.

Rechaza las peticiones u ofertas de ayuda: las empresas y organizaciones reales no se ponen en contacto contigo para ofrecerte ayuda. Si no has solicitado específicamente ayuda al remitente, considere una estafa cualquier oferta de "ayuda".

Con todo esto, no importa cuántas cerraduras y cerrojos haya en tus puertas y ventanas, o si tienes sistemas de alarma, si confías en la persona de la puerta que dice ser el repartidor de Amazon y le dejas entrar sin comprobar primero si es cierto, estás completamente expuesto a cualquier riesgo.