Cualquier hecho de gran difusión mediática, como el lanzamiento de un nuevo producto o un desastre natural, es el campo de trabajo perfecto para la ingeniería social. Engañar a las personas es mucho más fácil que a un ordenador, por lo que el vector de entrada ya no es una vulnerabilidad en nuestros equipos, sino en nosotros mismos.
Las estrategias ideadas para estafar a la gente llevan ya muchos años evolucionando, aunque siempre con el mismo objetivo. En esencia, engañar a una persona para que haga algo que en realidad no quiere hacer y que favorezca a un tercero se lleva haciendo desde siempre. El caso es que con la tecnología el alcance y la efectividad de estos ‘trucos’ se acentúan.
La ingeniería social se basa en que los ciberdelincuentes pueden obtener información confidencial proporcionada por nosotros mismos a través de algún tipo de engaño. Manipular a una persona para que nos haga saber el lugar en el que trabaja, por ejemplo, sería un buen objetivo de un proyecto de ingeniería social.
Por poner un ejemplo, según un informe elaborado recientemente por Nielsen, el 91% de las pymes españolas recibe ciberataques a diario. Los menores no son menos vulnerables, ya que siempre están en el punto de mira de este tipo de conductas. Pero no nos engañemos; en este caso la víctima puede ser cualquiera.
En el caso del ‘hunting’, los ciberdelincuentes no interactúan de manera directa con los usuarios para obtener información. En cambio, con el ‘farming’ es diferente; El primer objetivo de los ingenieros es hacerse “amigos” de la persona a estafar. Cuanto más cercanos sean los vínculos que consigan crear con la víctima, más datos personales podrán obtener de la misma.
Un muy buen ejemplo de cómo se efectúan estas estafas sería el siguiente. Un teleoperador te llama por teléfono. Se presenta, y antes de empezar con su discurso comercial, te pide que confirmes tus datos personales (domicilio, número de teléfono, DNI, etc). Esta ‘confirmación’, se basa en que nosotros damos todos nuestros datos personales sin preocuparnos, mientras que el estafador solo tiene que coger un boli y un papel e irlos apuntando cuidadosamente.
Son técnicas que poco o nada tienen que ver con la informática. Más bien se utilizan nuestras ‘debilidades’ para conseguir lo que se quiere. Una vez nuestro interlocutor tiene todos estos datos, puede incluso llegar a conseguir toda nuestra información bancaria. Un asunto serio, ¿no?
Los expertos en ingeniería social afirman que existen 6 principios básicos, fundamentales para entender por qué estas técnicas funcionan tan bien:
- Reciprocidad: si nos ofrecen algo, tendemos a ofrecer algo a cambio.
- Urgencia: “Tiene usted 24 horas para canjear su premio”. Uno de los métodos más utilizados, tanto dentro como fuera del cibercrimen.
- Consistencia: una vez que damos nuestra palabra de que vamos a hacer algo, tendemos a hacerlo. Esta técnica se emplea mediante la adición de algún proceso “inusual” dentro de la rutina de los usuarios. Ya que siempre hacemos el resto, haremos también el que consideramos “raro”.
- Confianza: si nuestro interlocutor nos cae bien, nuestras defensas se reducen drásticamente.
- Autoridad: el rango de quien nos pida unos datos es muy importante. No es lo mismo si nos los pide el becario, que si lo hace nuestro jefe…
- Validación social: este principio es el más fácil de explicar. Si los demás hacen algo, nos sentiremos inclinados a hacerlo también.
En la red, las malignas posibilidades de este tipo de engaños se acentúan. Cualquier ingeniero social, mediante un simple email, puede hacerse pasar por nuestro banco, un cliente, un compañero de trabajo o cualquier otra persona de confianza a la que creamos que podemos ceder nuestros datos sin preocupaciones.
http://statics04.vayagif.com/gifs/2015/07/GIF230310supongoquetodostenemosunladoegoista.webm
Los ejemplos más básicos son los de “averigua quién te ha borrado de Facebook” o “te ha tocado la lotería, aunque no hayas jugado”. Podemos pensar que es difícil que alguien llegue a picar, pero las estadísticas dicen lo contrario. Según el Informe de Ciberamenazas 2014-15 de CCN (Centro Criptográfico Nacional), solo en un año se han gestionado 12.916 incidentes, muchos de los cuales están relacionados con temas de ingeniería social.
La conclusión es que ninguna solución de seguridad, por muy buena que sea, nos protegerá totalmente de un ataque si va dirigido directamente contra nosotros. Algunas, como Metashield, podrán ayudarnos a prevenir que los metadatos de nuestros documentos expongan información personal, pero necesitamos, además, algo de sentido común e información para evitar caer en este tipo de trampas.
