En la actualidad estamos sometidos a muchos riesgos relacionados con el uso de las nuevas tecnologías, en forma de virus informáticos y demás tipos de malware. Vamos a tratar de explicar una de las prácticas más habituales, como es la ingeniería social.
La ingeniería social es un tipo de fraude que tiene que ver con la manipulación psicológica de las personas para extraer información de ellas. A través de este método, los cibercriminales intentan lograr que las demás personas hagan lo que uno quiere que hagan, para obtener información o acceso a los equipos informáticos de las víctimas.
Los ataques de Ingeniería Social más habituales incluyen correos electrónicos de phishing (suplantación de identidad, normalmente a través del email), vishing (se hacen pasar por una entidad financiera, por ejemplo, pero a través de una llamada telefónica) y baiting (se utiliza un dispositivo de almacenamiento extraíble – CD, DVD, USB – infectado con un software malicioso, dejándolo en un lugar en el cual sea fácil de encontrar, y el atacante luego simplemente espera que el usuario las conecte a su ordenador).
Dentro de la ingeniería social podemos hablar de dos grandes grupos:
Hunting: son ataques que buscan obtener información específica de la víctima con la menor exposición directa posible, con el menor contacto. Dentro de este grupo podemos incluir los ataques de phishing mediante email.
Farming: sería lo contrario. Aquí el objetivo es mantener el engaño el mayor tiempo posible, para conseguir extraer la mayor cantidad de información posible de la víctima.
Para conseguir tener acceso a las potenciales víctimas y conocer, por ejemplo, su posición en la empresa en la que trabajan, los delincuentes utilizan la información que colgamos en las redes sociales (los lugares que frecuentamos, nuestros gustos personales, fotos familiares…), así como la información que aparece en las webs corporativas de las empresas. Es un factor muy peligroso colgar toda esta información personal y sensible en las redes sociales, ya que mediante su conocimiento es como realizan el ataque, intentando con la información conseguida robar tu identidad o, en el menor de los casos, ganarse tu confianza para conseguir su propósito.
La Ingeniería Social afecta a todos, pero se enfoca principalmente en las empresas. Los estafadores la utilizan cada vez más para atacar las grandes corporaciones y las Pymes.
Para defendernos, no hay ningún método infalible, cualquiera es susceptible de caer en un ataque de ingeniería social. Sin embargo, se pueden seguir una serie de pautas que muchas veces tienen que ver con el sentido común y la cautela:
- Verificar siempre la identidad de alguien que nos solicite información personal.
- No hacer clic sobre cualquier enlace que nos envíe un desconocido.
- En el caso de recibir un email “sospechoso”, fijarse bien en la dirección del email remitente, que normalmente no tendrá nada que ver con quién supuestamente dice ser. Hay que eliminar estos correos y no contestarlos.
- No descargar archivos desconocidos, sobre todo si lo hacemos de sitios que generen desconfianza.
- No compartir muchos datos sobre nuestros gustos y afinidades en las redes sociales, ya que podrán usarlos contra nosotros.
- Nunca compartir números de cuenta, tarjetas de crédito, contraseñas, o nombres de usuario con nadie vía correo electrónico.
- En redes wifi públicas, como en bares, cafeterías y lugares públicos, es recomendable no usar servicios que requieran información sensible como usuario y contraseña.
Siguiendo estas recomendaciones se lo pondremos más difícil a aquellos que, mediante la ingeniería social, tratan de conseguir información nuestra o de las empresas en las que trabajamos. Afortunadamente, la mayoría de ataques son toscos, impersonales y masivos, y con prestar un poco de atención y seguir las recomendaciones expuestas podremos evitar más de un susto en este sentido.