La ingeniería social manipula a las personas para que compartan información que no deberían compartir, descarguen software que no deberían descargar, visiten sitios web que no deberían visitar, envíen dinero a delincuentes o bien cometan otros errores que comprometan sus activos o seguridad personal o empresarial.
Un correo electrónico que parece proceder de un proveedor fiable en el cual se solicita información actualizada de la tarjeta de crédito, un buzón de voz amenazante que afirma ser del IRS o una oferta jugosa de un potentado extranjero son solo algunos ejemplos de ingeniería social. Como la ingeniería social explota las debilidades humanas en lugar de las vulnerabilidades técnicas o del sistema digital, a veces se le llama "ataque informático humano".
En muchos casos, los ciberdelincuentes utilizan tácticas de ingeniería social para obtener el tipo de datos personales (credenciales de inicio de sesión, números de tarjeta de crédito, números de cuenta bancaria, números de seguridad social) que pueden utilizar para la usurpación de identidad, lo que les permite realizar compras con el dinero o crédito de sus víctimas, presentar solicitudes de préstamo a nombre de otra persona o solicitar prestaciones por desempleo de otras personas, entre otras. Pero un ataque de ingeniería social también puede ser la primera fase de un ciberataque a mayor escala. Por ejemplo, un ciberdelincuente podría engañar a una víctima para que compartiera un nombre de usuario y una contraseña, y luego utilizar esas credenciales para plantar ransomware en la red de empleado de la víctima.
La ingeniería social es atractiva para los ciberdelincuentes porque les permite acceder a redes, dispositivos y cuentas digitales sin el difícil trabajo técnico que implica hackear cortafuegos, software antivirus y otros controles de ciberseguridad. Esta es una de las razones por las cuales la ingeniería social es la principal causa de ataque a redes comprometidas a día de hoy, según el informe State of Security 2021 de ISACA. También es una de las más costosas: de acuerdo con el informe sobre el coste de una brecha de seguridad en los datos de 2021 de IBM, las filtraciones de datos provocadas por ataques de ingeniería social suponen un coste medio de 4,47 millones de dólares para las empresas.
Cómo funciona la ingeniería social
Casi todos los tipos de ataques conllevan algún tipo de ingeniería social. Por ejemplo, están los clásicos correos electrónicos de "phishing" y estafas de virus, con un gran contenido social. Los correos electrónicos de phishing intentan convencer a los usuarios de que su origen es legítimo con la esperanza de que obtener información personal o datos de la empresa, por insignificante que parezcan. Por otra parte, los correos que contienen archivos adjuntos con virus a menudo aparentan provenir de contactos confiables u ofrecen contenido multimedia que parece inofensivo, como videos "divertidos" o "tiernos".
En algunos casos, los atacantes utilizan métodos más simples de ingeniería social para acceder a una red o computadora. Por ejemplo, un hacker puede frecuentar el comedor público de un gran edificio de oficinas, buscar usuarios que estén trabajando en sus tablets o computadoras portátiles y mirar los dispositivos por encima de su hombro. Con esta táctica pueden conseguir una gran cantidad de contraseñas y nombres de usuario, todo sin necesidad de ni enviar un solo correo electrónico de ni escribir una línea de código de virus.
Otros ataques requieren una comunicación real entre el atacante y la víctima; en estos casos, el atacante presiona al usuario para que le otorgue acceso a la red con el pretexto de un problema grave que es necesario resolver de inmediato. Los atacantes utilizan en igual medida la rabia, la culpa y la tristeza para convencer a los usuarios de que necesitan su ayuda y no pueden negársela. Para terminar, es importante prestar atención a la ingeniería social como un medio para crear confusión. Numerosos trabajadores y consumidores no se dan cuenta de que, con solo un poco de información (como el nombre, la fecha de nacimiento o la dirección), los hackers pueden acceder a múltiples redes haciéndose pasar por usuarios legítimos o miembros del personal de TI. Después de lograrlo, les resulta fácil restablecer contraseñas y obtener acceso prácticamente ilimitado.
¿Cómo podemos protegernos de la ingeniería social?
La protección contra la ingeniería social comienza con la educación; los usuarios necesitan aprender que no deben hacer nunca clic en enlaces sospechosos y siempre deben proteger sus credenciales de inicio de sesión, incluso en la oficina y en el hogar. Sin embargo, si las tácticas sociales logran su objetivo, el resultado probable es una infección por malware. Para combatir los rootkits, troyanos y otros bots, es fundamental implementar una solución de seguridad de Internet de alta calidad que sea capaz de eliminar infecciones y rastrear su origen.
Configura la privacidad en las redes sociales para que no queden expuestos tus datos personales.
Informate y aprendé sobre este tipo de amenazas.
Usá una contraseña segura.
Configurá la autenticación en dos pasos para estar alerta de accesos indebidos a tus cuentas.
Presta atención a cualquier persona que te pida información personal.
¿Quieres saber más?