La ingeniería social es el arte de manipular a la gente para que revelen información confidencial. Los tipos de información que los cibercriminales pueden buscar son variados pero tienen normalmente que ver con la obtención de claves de acceso a cuentas personales, especialmente bancarias, el acceso a un ordenador para poder instalar software malicioso que les dará acceso a nuestras cuentas y que les permitirá tomar el control del dispositivo.

Los cibercriminales usan la ingeniería social porque normalmente es más fácil explotar la inclinación natural del ser humano a la confianza que realizar un complicado ataque por medios técnicos. Por ejemplo, es mucho más fácil engañar a alguien para que revele su contraseña que intentar decodificarla.

Una gran parte de lo que llamamos ciberseguridad se trata de saber en quién y en qué podemos confiar. Saber si la personas o empresa con la que estamos interactuando es quien dice ser, saber si la página web es auténtica o es una copia y sobre todo saber cuándo debemos o no debemos compartir nuestra información.

A pesar de todos los avances tecnológicos, el eslabón más débil de la cadena de la seguridad sigue siendo el humano. Podemos disponer de todos los sistemas de seguridad recomendados, pero ninguno nos protegerá si uno de nosotros lleva de la mano al cibercriminal hasta el corazón de nuestro sistema. Precisamente eso es lo que busca la ingeniería social: explotar la vulnerabilidad de la psique humana para saltarse todas las puertas, rejas y cadenas digitales que se interponen entre el criminal y su botín.

Los ataques de ingeniería social más comunes

El email de un amigo. Si un cibercriminal toma el control de un cuenta de email va a poder acceder a la lista de contactos y mandar emails a todos ellos. En esos emails vamos a encontrar distintas técnicas encaminadas a obtener información de manera ilegal:

  • Enlaces: el email puede contener un enlace – supuestamente a algo interesante- que nos puede llevar a descargar software malicioso.
  • Descargas: el cibercriminal puede incluir archivos adjuntos (fotos, vídeos, documentos) que tienen software malicioso embebido. En el caso de que, dejándonos llevar por la confianza que nos ofrece la procedencia del mensaje, decidamos descargarlo, nuestro ordenador será infectado y el cibercriminal tendrá acceso a nuestros datos.

Este tipo de mensajes suelen usar una serie de técnicas para hacernos caer en la trampa:

  • Pedir ayuda: fingir que nuestro amigo tiene un problema  y necesita dinero para que le enviemos nuestros datos bancarios.
  • Pedir donaciones a causas benéficas.

Phishing. Este tipo de ataque ya lo hemos tratado en profundidad en anteriores artículos de este blog. Básicamente se trata de mandar un mensaje en el que un cibercriminal se hace pasar por una persona o empresa de nuestra confianza.

Señuelos. Se trata de ofrecer algo muy atractivo para tratar de que la gente haga click en un enlace. Este tipo de engaño puede tomar muchas formas pero normalmente nos ofrecen cosas como la descarga gratuita de una película, un producto muy barato en un sitio de subastas.

Las consecuencias pueden ser también muy variadas. Por ejemplo, en el caso de hacer un pedido para comprar un artículo señuelo nos podemos encontrar con que nunca lo recibiremos o incluso con cargos excesivos en nuestra cuenta bancaria.

Los hackers están echando manos siempre más de técnicas de ingeniería social para realizar sus ataques, es necesario que los profesionales y usuarios podamos identificar este tipo de técnicas para no caer en la trampa.