En el mundo de la tecnología y la informática la seguridad de la información es crucial, tanto para usuarios como para empresas. Por lo que protegerla e implementar medidas contra los hackers y sus técnicas de ingeniera social se convierte en una prioridad. Pero, ¿qué es la ingeniería social? Se trata de un conjunto de prácticas con las que los cibercriminales buscan, generando contextos de confianza, que los usuarios entreguen datos confidenciales o faciliten información relevante para robar.
Así entonces, ¿Cómo evitar caer en las técnicas de la ingeniería social? En este artículo te damos algunas claves para que no seas víctima de robo de la información, descúbrelo a continuación.
Te recomendamos leer: Seguridad Informática: 10 Recomendaciones para mejorarla en tu empresa
El término ingeniería social es tomado de las Ciencias Sociales, como aquella práctica que implica el uso de la manipulación con el fin de conseguir un objetivo, sea positivo o negativo. En otras palabras, es cualquier esfuerzo de los factores de cambio (medios de comunicación, gobiernos o grupos privados) con el propósito de influir o moldear el comportamiento de la población objetivo.
En el contexto de la seguridad de la información, la ingeniería social se ejecuta con el fin de engañar a víctimas inocentes para que compartan sus datos personales, al abrir enlaces hacia páginas web infectadas o permitir a los hackers que instalen un software malicioso en sus ordenadores inconscientemente.
Son las técnicas usadas por los ciberdelincuentes que se basan en la generación de confianza por medio del lenguaje amable, empático o atractivo. Estas llevan a que la víctima se sienta con la tranquilidad para dar continuidad a un proceso determinado.
Tanto las técnicas para personas como para empresas y organizaciones necesitan de la cooperación de la víctima sin que esta percate el peligro. Para ataques o robos de información a grandes compañías se eligen empleados de bajo nivel que tienen acceso a esta información.
Así mismo, se suele engañar a la víctima para que comparta esta información voluntariamente, infectando su ordenador con un software malicioso, monitoreando la actividad de su red y enviando informes detallados directamente al cibercriminal.
Los ataques a la seguridad se manifiestan de múltiples maneras y formas. Se pueden llevar a cabo fuera de la red, por una llamada telefónica o, incluso, con la visita inesperada de una persona a una oficina solicitando determinada información de la empresa.
Aquí presentamos los diferentes tipos de técnicas para que aprendas cómo identificarlas.
Spear Phishing
El phishing es un tipo de ataque de ingeniería social en el que los mensajes parecen provenir de una fuente fiable. Por lo que los usuarios no dudan de la legitimidad de un mensaje que, aparentemente, proviene de un amigo, un familiar o una tienda que visitan con frecuencia. Aquí, los mensajes están diseñados específicamente para engañar a las víctimas y que revelen sus datos personales o financieros.
Dentro de esta técnica también se emplea el logotipo oficial y el aspecto del banco en cuestión para hacer más difícil que la víctima pueda descubrir que el mensaje no es sospechoso.
Baiting
Este es un ejemplo de ingeniería social que no se origina en las redes, pues se refiere al caso en el que un atacante deja un dispositivo infectado con malware (por ejemplo, una USB) en algún lugar fácil de encontrar.
Estos dispositivos suelen tener etiquetas como «importante» o «confidencial», palabras que sean provocativas para curiosear. Si la víctima conecta la USB en su computador, esta instalará inmediatamente el software malicioso en el PC. Lo cual proporcionará al hacker una visión de su actividad online y fuera de la red, así como el acceso a sus archivos y carpetas.
Si el computador es parte de una red, el hacker también obtendrá acceso inmediato a todos los demás dispositivos que componen esa red.
Vishing o pretexting
También conocido como phishing por voz, es un tipo más actualizado de ataque de phishing. Esta técnica consiste en la suplantación de un número de teléfono para que parezca legítimo. Así los atacantes se hacen pasar por técnicos, compañeros de trabajo, personal de informática, e inclusive, familiares o amigos.
Seguramente, has recibido llamadas de un sobrino, primo o el nieto de un amigo que fue encarcelado por la policía y debe pagar una cuantiosa suma de dinero para que salga de ese problema.
Desafortunadamente, por las historias y discursos bien construidos, y con ayuda de un lenguaje de confianza, muchas personas son víctimas de este ataque. Compartiendo no solo sus datos personales o su cuenta bancaria una única vez, sino que pueden llegar a ser víctimas por un largo periodo de tiempo.
Smishing
Es un tipo de ataque de phishing que funciona por medio de mensajes de texto o SMS. Normalmente, estos ataques piden a la víctima que realice alguna acción inmediata a través de vínculos maliciosos en los que hacen clic o dan números de teléfono para llamar.
Una vez que se cae en las redes de un ingeniero social, puede ser difícil librarse de ellas. Las técnicas de la ingeniería social están diseñadas para sacar provecho de los rasgos humanos como la curiosidad, la confianza y la voluntad de ayudar de sus víctimas. De modo que la mejor manera de protegerse es ser más desconfiado dentro del entorno online.
Aunque usar el mejor software antivirus sea realmente importante, también es necesario ser muy cuidadoso en internet. Además, de tener sentido común y seguir buenas prácticas para la gestión y el cuidado de la información, eso sin ser un experto en tecnología. A continuación, te presentamos 4 tips para que puedas identificar y disminuir los ataques de cibercriminales.
1. Investiga la fuente
- Si recibes un email, SMS o llamada telefónica de una fuente desconocida, busca el número en internet para ver si encuentras información relacionada.
- Comprueba hacia donde conducen los enlaces: los hipervínculos fraudulentos son fáciles de detectar con solo deslizar el cursor por encima (NO hagas clic en ellos).
- Verifica la ortografía, ya que los bancos cuentan con equipos de personas cualificadas dedicadas a elaborar los comunicados que se envían a los clientes. Sí un mensaje de correo electrónico tiene faltas de ortografía clamorosas o una redacción incoherente, probablemente sea fraudulento.
2. Cambia la configuración de spam en el correo electrónico
Puedes ajustar la configuración del correo electrónico para fortalecer los filtros de spam si estos mensajes aparecen en la bandeja de entrada. Estos filtros pueden detectar archivos o enlaces maliciosos. Así como tener una lista negra de direcciones IP o remitentes sospechosos y analizar el contenido de los mensajes para determinar si es probable que sean falsos.
3. Razona antes de actuar
La ingeniería social genera una cierta sensación o situación de urgencia. Los atacantes esperan que sus objetivos no reflexionen demasiado sobre lo que está sucediendo. Por eso, es necesario tomarte un momento para pensar y demostrar que se trata de un fraude.
Llama al número o visita la URL oficial del remitente que te está contactando, en lugar de facilitar tus datos por teléfono o hacer clic en un enlace. Utiliza un método de comunicación distinto para comprobar la credibilidad de la fuente.
4. Instala y mantén actualizado el antivirus y antimalware
Un software antivirus capaz de detectar mensajes o páginas web sospechosos puede ahorrarte el tiempo y las molestias de tener que verificar las fuentes.
Reflexiona sobre la seguridad de tu información
Finalmente, te invitamos a reflexionar sobre la seguridad de tu información, ya que compartir gran cantidad de datos en Internet (redes sociales, foros, etc.) puede resultar de ayuda a los atacantes.
Por ejemplo, muchos bancos incluyen «Nombre de tu primera mascota» como posible pregunta de seguridad. ¿Lo has publicado alguna vez en Facebook? En caso afirmativo, eres vulnerable. Además, algunos ataques de ingeniería social intentan ganar credibilidad aludiendo a eventos recientes que tal vez hayas publicado en las redes sociales.
También, analiza otros aspectos de tu vida que compartes en Internet. Si tienes un currículum online, piensa si es conveniente indicar la dirección de tu residencia, número de teléfono o fecha de nacimiento. Todo esto es información útil para cualquiera que esté planeando perpetrar un ataque de ingeniería social.
La ingeniería social puede llegar a ser muy peligrosa porque parte de situaciones perfectamente normales y las manipula con fines delictivos. Aun así, entendiendo bien cómo funciona y tomando las precauciones básicas es mucho menos probable que te conviertas en una víctima de un ciberataque.
