La ingeniería social se basa en un principio muy básico: “el usuario es el eslabón más débil”. A partir de esta idea, busca explotarlo apelando a sus motivaciones más personales, con el objetivo de conseguir que el usuario revele cierta información o permita tomar el control de su equipo. Nuestra mejor defensa es no dejarnos engañar y conocer cómo funcionan este tipo de fraudes y engaños. En este blog encontrarás la forma de detectarlos y a no caer en ellos. ¿A qué esperas?
La ingeniería social es una técnica usada por los ciberdelincuentes y que consiste en engañar o manipular a las personas para conseguir su información personal, como contraseñas y datos bancarios, o para obtener el acceso a sus equipos con el fin de instalar software malicioso o malware de forma inadvertida.
Los ciberdelincuentes utilizan la ingeniería social porque es más fácil o “barato” dedicar recursos a engañar a alguien para que revele su contraseña de acceso a un servicio, que vulnerar sus complejos sistemas de seguridad. En ese caso, la vulnerabilidad eres tú, pero puedes evitarlo. De manera sistemática, los ciberdelincuentes que emplean la ingeniería social tratarán de ofrecerte algo que capte tu interés sin que puedas sospechar que ellos están detrás.
Pueden incitarte a abrir ficheros adjuntos, se harán pasar por otras personas que te resulten de confianza con el fin de obtener acceso a información privilegiada, o tratarán de hacerte creer que tu equipo está infectado con malware para ofrecer una solución que supuestamente lo desinfecte. Y es que los ataques de ingeniería social son cada vez más frecuentes y sofisticados, ya que no se trata solo de caer en una trampa, sino de la personalización que los ciberdelincuentes hacen de esta. Por poner un ejemplo, el 93% de las brechas de seguridad comienzan a partir de un correo electrónico.
Recuerda, el eslabón más débil de cualquier cadena de seguridad es el usuario, y, precisamente por esto, la ingeniería social busca explotar este punto débil, apelando a la vanidad, la avaricia, la curiosidad, el altruismo o el respeto o temor a la autoridad de las personas para conseguir que revele cierta información o que permita el acceso a un sistema informático.
¿Cómo puedes reconocer la ingeniería social?
Cualquier consejo o ayuda no solicitada debe tratarse con precaución, especialmente si consiste en hacer clic en un enlace o descargar algún programa bajo cualquier excusa, ya que probablemente te encuentres ante un intento de fraude por ingeniería social.
Del mismo modo, cualquier petición de tus contraseñas o información financiera es un truco, ya que las instituciones legítimas nunca te pedirían una contraseña a través de correo electrónico, mensajería instantánea, redes sociales, teléfono, etc.
Defensas, Consideraciones y buenas prácticas
Entonces, ¿existen defensas efectivas en contra de la ingeniería social? La respuesta es totalmente afirmativa. Sin embargo, los mecanismos están enfocados a una cuestión de concienciación sobre aspectos de ciberseguridad y no tanto a una cuestión técnica.
Debes entender que una parte muy importante de la seguridad recae en el propio usuario. Tanto en las comunicaciones electrónicas como en la vida real siempre se debe tener presente que hay cosas de las que debemos desconfiar o tratar con especial precaución.
Las siguientes recomendaciones disminuirían de manera importante la posibilidad de ser víctima de la ingeniería social:
- Si recibes algún mensaje de remitente desconocido, trátalo con especial cuidado, ya que no solamente puede ser un correo con información falsa, sino que puede contener archivos maliciosos adjuntos o enlaces que no son lo que parece ser. Revisa los enlaces a los que te envían sus anuncios antes de clicar sobre ellos.
- Desconfía de los chantajes o extorsiones que puedes recibir telefónicamente o en tu correo. Normalmente buscan captar tu atención con mensajes alarmantes y piden un rescate sobre una supuesta información tuya que realmente no tienen. Suelen venir de remitentes desconocidos.
- También desconfía si a través de una llamada alguien dice ser el técnico/trabajador de un servicio y bajo cualquier excusa te pide que descargues una aplicación determinada, confirmes datos de tus tarjetas, realices algún pago, etc. No atiendas a sus peticiones y confirma con terceras fuentes de confianza que realmente es quien dice ser.
- Como una medida de protección general, debes tener siempre presente que las entidades bancarias nunca solicitan información confidencial por correo electrónico, SMS o cualquier otro canal, por tanto, ojo con los mensajes que parecen de tu banco, pero que realmente no lo son.
- Al navegar por Internet y acceder a tus webs favoritas, verifica sus características, por ejemplo, asegúrate de que sea una página segura (que comience con https), así como que la dirección del portal pertenezca a la URL de la entidad. Por ejemplo, si el banco X ofrece servicios en línea, y con total seguridad sabes que su dirección web es “www.bancox.com”, no atiendas a peticiones que te redirijan a otras direcciones web que no sea esa.
Una característica del phishing es que páginas auténticas pueden suplantarse con una simple similitud de las palabras (en el caso anterior, la página falsa podría ser www.banncox.com, se ha introducido una n adicional). El simple hecho de que se parezcan la URL falsa y la legítima provoca que muchos usuarios desprevenidos caigan en este tipo de engaños.
- No compartas información de acceso personal por correo electrónico, redes sociales o servicios de mensajería instantánea. Si no aplicas este tipo de medidas, puede resultar que la ingeniería social represente un problema económico.
No es necesario que el usuario sea un experto en seguridad, pero más allá de las consideraciones básicas, se debe tener presente al menos cómo o en dónde están las amenazas, ya que muchas veces no serán virus, programas o equipos infectados, sino simplemente técnicas de engaño.
Cada vez es más complicado reconocer los ataques de ingeniería social, por ello el primer método de prevención es estar informado. Para ello, la OSI pone a tu disposición varios recursos con los que anticiparte a los ciberdelincuentes y mantenerte protegido de este tipo de ataques. Además, es importante que conozcas el valor que tienen tus datos en Internet y los riesgos a los que te expones si un desconocido accediera a ellos, esto te ayudará a ser más cauto y difícil de engañar.