Ingeniería social

Concepto

La ingeniería social se beneficia de las informaciones personales que pueden conseguirse en las redes sociales, como los gustos o intereses, de manera que resulte sencillo ganarse la confianza de la víctima.

La ingeniería social se basa en predecir las conductas de las personas para obtener información o provocar que realice acciones concretas y se basa en los principios psicológicos relacionados con las técnicas clásicas de estafa.

El uso de estas técnicas psicológicas hace que el ser humano se convierta en el “eslabón débil” dentro del proceso de seguridad. Esta manipulación hace que, en algunos momentos, los crackers prefieran intentar lograr una clave a partir de varias llamadas que haciendo un ataque para conseguirla...

Técnicas para un ataque de ingeniería social

Existen, fundamentalmente, dos técnicas para un ataque de ingeniería social:

• ATAQUE UTILIZANDO EL TELÉFONO

En este tipo de acciones, la persona que llama puede hacerse pasar por personal técnico que pregunta una serie de datos necesarios para poder llevar a cabo una acción requerida por el usuario o la usuaria. Entre esos datos pueden estar contraseñas o datos sensibles que la persona facilita sin preocuparse por la seguridad de esa información.

Se debe recordar que, para hacer estas llamadas más realistas, las pueden llevar a cabo en el momento más oportuno. Si hemos solicitado información a nuestra compañía para algún cambio y en ese momento nos llama alguien haciéndose pasar por un técnico de dicha empresa, sería muy sencillo que se diera esa información sin mucho problema.

Muchas actuaciones de ingeniería social se basan en datos que pueden obtener mediante el uso de un software espía.

• ATAQUE UTILIZANDO INTERNET

Es la técnica favorita de los ciberdelincuentes para plantear ataques a gran escala.

Para dar verosimilitud al ataque siempre se intenta obtener datos y mover las actuaciones por bloques de usuarios y usuarias para facilitar "información de enganche" que pueda interesar a las posibles víctimas.

Se pueden utilizar el correo electrónico, las redes sociales o las aplicaciones de mensajería.

¿Qué pueden conseguir los ciberdelincuentes a través de un ataque de ingeniería social?

Si caes en estos ataques de ingeniería social, su responsable puede obtener acceso a mucha información. Entre la información que buscan los y las ciberdelincuentes y pueden obtener con este sistema, son los siguientes tipos:

• PIN o contraseñas.
• Acceso a cuentas de correo.
• Número de la seguridad social.
• Datos sanitarios.
• Acceso a cuentas de redes sociales.
• Cuentas o tarjetas bancarias.

Ciberdelincuencia en banca online

La banca online es uno de los objetivos de la ciberdelincuencia, y su clientela conforma una de las víctimas más habituales de las acciones de ingeniería social.

A continuación te presentamos una situación habitual y algunas observaciones sobre seguridad que lanzan algunos bancos a sus clientes para evitar ser defraudados.

Imagina la siguiente situación...

Actualización de cuenta

Antonio es un hombre de unos 70 años que tiene pocos conocimientos sobre tecnología.

Hace unos días recibió en su móvil un mensaje de su banco conforme debía realizar una actualización de su cuenta a través de Internet.

Como no es muy hábil con la informática, siguió los pasos del mensaje al pie de la letra para no equivocarse

La llamada

Antonio recibe una llamada telefónica.

Al otro lado de la línea una voz masculina se hace pasar por un empleado de su banco.

Buenos días, Antonio. Soy Jorge Andrés. Le llamo desde su banco ya que necesitamos verificar con usted unos datos de su cuenta corriente. Hace unos días le remitimos un correo informando de la actualización de su cuenta.

Para finalizar dicho proceso de nuestros sistemas de seguridad necesitamos realizar un cambio en sus claves de acceso. Por esta razón, es necesario que nos indique su usuario y contraseña actual para hacer la modificación y después le remitiremos por correo sus nuevas claves de acceso.

¿Podría indicarme su usuario y a continuación su contraseña?

¿Qué hacer ante esta situación?

Como te has dado cuenta, la llamada es sospechosa de ser una estafa, por lo que Antonio no debería continuar con la conversación. Lo más sensato es negarse a aportar esa información privada, abandonar la llamada e inmediatamente comunicarse con su banco para verificar si el trámite es real o fraudulento.

Recuerda

Si te vas a comunicar con tu banco para verificar una posible estafa o fraude, hazlo a través de los teléfonos oficiales que se pueden localizar en la web corporativa o bien en las Páginas Amarillas. A veces, quienes realizan la estafa nos envían un documento falsificado con opciones de contacto ficticias o bien nos dan un número de teléfono que nos conduce a su compinche.

Las entidades bancarias jamás te solicitarán tus claves secretas o enlaces a la web por teléfono o correo.

Consejos para evitar los ataques de ingeniería social

Pare evitar caer en estos ataques de ingeniería social conviene seguir estas recomendaciones:

• Evitar ofrecer cualquier tipo de información personal en espacios digitales públicos (redes, foros, web, entre otros).
• Ante cualquier duda con respecto a la persona que te está contactando, pedirle que se identifique claramente.
• Establecer pautas de trabajo en la organización que permitan automatizar unos buenos hábitos de control de datos.

Como ya viste en la anterior unidad, existen organizaciones como INICIBE y OSI que trabajan a diario para la ciudadanía pueda hacer un uso de Internet seguro y libre de riesgos.