Ingeniería social: qué es y cómo se relaciona con la ciberseguridad

Ingeniería social: qué es y cómo se relaciona con la ciberseguridad

Los fraudes de ingeniería social siguen aumentando y afectan a las empresas de todos los sectores. Los criminales más oportunistas explotan la psicología humana para aprovecharse del miedo, la incertidumbre, la distracción y la confusión. Durante 2021, un 74% empresas de las empresas mexicanas fueron víctimas de ransomware, consiguiendo encriptar los datos de al menos la mitad de ellas. En casi todos estos ciberataques se usaron técnicas de ingeniería social, siendo el humano el principal vector de ataque.

Aunque han pasado muchos años desde el origen de la ingeniería social, los atacantes siguen evolucionando sus técnicas y encontrando nuevas formas y más creativas de ganarse la confianza de las personas para engañarlas y hacerlas ejecutar acciones que acaben comprometiendo la seguridad de toda una organización.

¿Qué es la ingeniería social?

De forma muy breve, podríamos decir que la ingeniería social es el arte de manipular a las personas para que entreguen información confidencial o realicen acciones no deseadas.

Ahora bien, la ingeniería social es un término utilizado para englobar una amplia variedad de actividades maliciosas que se realizan a través de la interacción humana. Los atacantes utilizan la manipulación psicológica para engañar a los usuarios para que cometan errores de seguridad o entreguen información sensible.

Estos ataques se producen en uno o varios pasos. Primero, el atacante hace una investigación sobre la víctima (o las víctimas) para recopilar la información que necesitan para llevar a cabo el ataque. La profundidad de la investigación puede variar de acuerdo al tipo de ataque que se haga. Luego, el criminal hace sus movimientos para ganarse la confianza de su víctima e incentivarla a realizar acciones que rompen las prácticas de seguridad.

Los 6 principios de la persuasión utilizados en la ingeniería social

Todas las tácticas de ingeniería social dependen de la explotación de aspectos de la interacción humana y de la toma de decisiones, y esto se conoce como sesgo cognitivo. Podríamos decir que los sesgos son vulnerabilidades en el humano que pueden ser explotadas.

Por tanto, también se podría decir que los 6 principios de la persuasión descritos por Robert Cialdini sirven como base para los ataques de ingeniería social:

  1. Reciprocidad: Las personas tienen la tendencia a querer devolver los favores, y esta es una de las razones por las que hay tantas muestras gratuitas en el marketing. De la misma manera, un estafador puede dar algo gratis y luego solicitar acceso a información sensible.

  2. Escasez: La sensación de escasez aumenta la demanda. Esta táctica hace que lo solicitado por un atacante se sienta muy urgente y, por tanto, importante.

  3. Autoridad: Las personas tienden a obedecer a las figuras de autoridad sin poner muchas objeciones. Como ejemplo, tienes las campañas de Spear Phishing en donde los atacantes suplantan a un directivo y se dirigen a empleados de menor nivel.

  4. Compromiso y coherencia: Las personas tienden a cumplir con lo que ya se han comprometido, aunque la motivación inicial desaparezca.

  5. Prueba social: Las personas tienden a confiar más en las cosas que están ratificadas por personas u organizaciones en las que confían, por lo que los atacantes se aprovechan de esto para engañar a sus víctimas con mayor facilidad.

  6. Simpatía: Las personas se dejan persuadir con mayor facilidad por quienes les caen bien.

Técnicas de ingeniería social

Los ataques de ingeniería social tienen muchas formas diferentes y pueden llevarse a cabo en cualquier lugar donde exista interacción humana. Sin embargo, estas son algunas de las técnicas de ingeniería social más populares:

Baiting

Se trata de un tipo de ataque de ingeniería social en el que el atacante utiliza una falsa promesa para despertar la curiosidad y atraer a la víctima a una trampa que le permita robar información sensible o contaminar el sistema con un malware. La trampa, por ejemplo, puede tratarse de un archivo adjunto malicioso con un nombre tentador.

La palabra baiting o bait significa en español carnada o cebo, y básicamente se trata de eso, de usar una carnada para atraer a los usuarios a un lugar al que no deberían de ir.

Scareware

El scareware es una estafa que consiste en bombardear a las víctimas con amenazas ficticias y falsas alarmas. Los atacantes engañan a los usuarios haciéndoles creer que su sistema está infectado con un malware y les solicitan emprender acciones inmediatas, tales como descargar un “antivirus” o un “antimalware”. Por supuesto, todo es una artimaña, y al hacer esto termina por perpetrarse el ataque.

Pretexting

El pretexting es un tipo de ataque centrado en crear un buen pretexto, o un escenario inventado, que los estafadores utilizan para engañar a su víctima y hacer que entreguen información que, en condiciones normales, no compartirían. Un atacante suele empezar generando confianza a su víctima al hacerse pasar por un compañero de trabajo, un funcionario bancario u otra persona con “derecho” a solicitar dicha información.

Phishing

Las estafas de phishing son los ataques de ingeniería social más populares y suelen ser campañas de correo electrónico, mensajes de texto (smishing) o llamadas por voz (vishing) destinadas a crear una sensación de urgencia, curiosidad o miedo en las víctimas. A partir de ahí, los atacantes llevan a los usuarios a hacer clic en enlaces que llevan a sitios web maliciosos, a revelar información sensible o a abrir archivos maliciosos.

Spear phishing

Por último, el spear phishing es un ataque muy similar al phishing, con la diferencia en que el ataque no es genérico, sino que va altamente dirigido a un miembro de la organización, usualmente de alto nivel, lo que puede conllevar a resultados catastróficos.

¿Cómo me defiendo de estos ataques?

Existen diversos mecanismos para evitar los ataques de ingeniería social, como evitar abrir correos electrónicos y archivos adjuntos sospechosos, utilizar la autenticación multifactorial o mantener actualizados todos los softwares actualizados (especialmente el sistema operativo y el antivirus/antimalware).

No obstante, lo más importante generar una cultura de ciberseguridad en la organización, y esto solo se logra con un programa de concientización cibernética.

Alfonso Orrantia

Alfonso Orrantia

Especialista en Marketing Digital, egresado de la carrera de Ingeniería en Sistemas Computacionales por el Instituto Tecnológico de Chihuahua II, apasionado por el campo de las tecnologías de la Información.