La ingeniería social es el arte y la ciencia de manipular a las personas para que hagan lo que tú quieras, ya sea para obtener información, acceso o recursos. Es una forma de hacking que se basa en el conocimiento de la psicología, la comunicación y el comportamiento humano. Esta técnica es usada en el phising.
La ingeniería social puede no ser mala. Como todo, depende de las intenciones y la ética de quien lo utiliza. La ingeniería social aumenta lo que ya eres. Por un lado, puede ser utilizada por ciberdelincuentes, estafadores, espías o terroristas para engañar a sus víctimas y conseguir sus objetivos. Por otro lado, puede ser empleada por profesionales de la seguridad, investigadores, educadores o activistas para concienciar, prevenir, proteger o mejorar la sociedad.
¿De que lado estás tú?
En cualquier caso, la ingeniería social es una amenaza real y creciente en el mundo digital e incluso físico, que afecta tanto a personas como a empresas. Por eso, es importante que sepas qué es, cómo funciona y cómo prevenirte.
Tipos y ejemplos de ataques de ingeniería social
Los ataques de ingeniería social se pueden clasificar según diferentes criterios, como el canal utilizado, la técnica empleada o el tipo de objetivo. Aquí detallamos los más comunes:
Phishing
Es un tipo de ataque online que consiste en enviar correos electrónicos falsos que parecen de fuentes legítimas (como bancos, empresas o instituciones) para engañar a la víctima y obtener su información personal o financiera, o infectar su dispositivo con malware.
Vishing
El vishing consiste en llamar al objetivo y hacerse pasar por alguien de confianza (como un empleado, un cliente o un proveedor) para obtener su información o convencerle de hacer algo. Por ejemplo, una llamada que dice que eres el ganador de un sorteo y que debes proporcionar tus datos bancarios para recibir el premio.
Baiting
Es un tipo de ataque físico que consiste en dejar un dispositivo (como un USB) en un lugar público o accesible para la víctima, con la idea de que lo coja y lo conecte a su ordenador, liberando así el malware o la información oculta.
Impersonation
Es un tipo de ataque que consiste en hacerse pasar por otra persona (como un técnico, un repartidor o un policía) para acceder a un lugar restringido o a la información del blanco.
Un caso de impersonation conocido fue en las elecciones de 2016 en Estados Unidos. Los atacantes se hicieron pasar por un proveedor de servicios de correo electrónico y enviaron un correo de phishing solicitando a John Podesta, quien en ese momento era el presidente de la campaña presidencial de Hilllary Clinton, que cambiara su contraseña debido a un supuesto intento de acceso no autorizado.
Sin darse cuenta del engaño, Podesta proporcionó sus credenciales de inicio de sesión, lo que permitió a los atacantes acceder a su cuenta y filtrar correos electrónicos confidenciales que tuvieron un impacto significativo en la campaña electoral.
Pretexting
Es un tipo de ataque basado en la creación de una historia falsa o una excusa (como una emergencia, una investigación o una encuesta) para obtener la información o la cooperación de la víctima.
Cómo protegerte de la ingeniería social en el ámbito personal y profesional
La ingeniería social es una amenaza difícil de detectar y prevenir, ya que se aprovecha de los sesgos cognitivos. Sin embargo, existen algunas medidas y hábitos que puedes adoptar para reducir el riesgo y el impacto de los ataques de ingeniería social:
- Edúcate. La educación es la mayor previsora de este tipo de ataques que, por desgracia, cada día son más frecuentes.
- Protege tu información: No reveles ni compartas tu información personal o sensible (como contraseñas, números de tarjeta, datos bancarios o documentos) con nadie que no conozcas o en quien no confíes. Cambia tus contraseñas periódicamente. Borra, rompe o quema los documentos o dispositivos que contengan información importante antes de deshacerte de ellos.
- Verifica la fuente: No abras ni respondas a correos electrónicos, llamadas telefónicas o mensajes de texto sospechosos. Comprueba la dirección del remitente, el número de la persona, el contenido del mensaje y los enlaces adjuntos. Busca errores ortográficos, gramaticales o lógicos. Contacta directamente con la empresa supuestamente emisora para confirmar su autenticidad. No te fíes de las ofertas demasiado buenas.
- Piensa antes de actuar: No te dejes llevar por las emociones, las urgencias o las presiones. Analiza críticamente la situación y las posibles consecuencias. Pide una segunda opinión a alguien de confianza. Busca más información sobre el tema o la persona.
Si quieres conocer más acerca de terminología de ciberseguridad, síguenos en el canal de YouTube.