Ingeniería social: qué es, técnicas y algunos ejemplos

¿Alguna vez has recibido un correo electrónico sospechoso que parecía ser de tu banco? O ¿te han llamado por teléfono haciéndose pasar por un técnico de soporte? Si es así, has sido blanco de un ataque de ingeniería social. A diferencia de las irrupciones tradicionales que se basan en vulnerabilidades técnicas, la ingeniería social explota la confianza y la ingenuidad de las personas.

La ingeniería social es un concepto que ha tomado protagonismo en la era digital, especialmente en un contexto donde la ciberseguridad se ha vuelto crucial para la protección de datos personales. Con el auge de las redes sociales y el constante intercambio de información, los ciberdelincuentes han encontrado nuevas formas de manipular a los usuarios y acceder a información sensible.

En México, los ataques de ingeniería social son cada vez más comunes. Los cibercriminales se aprovechan de la falta de conocimiento sobre ciberseguridad y de la creciente dependencia de la tecnología en nuestra vida diaria. Sigue leyendo y conoce más sobre este interesante tema.

¿En qué consiste la ingeniería social?

Se refiere a la manipulación psicológica de las personas para que divulguen información confidencial o realicen acciones que comprometan su seguridad. Por ello, se considera a la ingeniería social como el arte de la persuasión. Con el avance de la tecnología y el uso masivo de internet, la ingeniería social ha adquirido una nueva dimensión. Así, los atacantes utilizan una variedad de técnicas psicológicas para manipular a sus víctimas y lograr sus objetivos.

Características

Las características clave de la ingeniería social resaltan cómo este campo se basa en la comprensión de la psicología humana para lograr sus objetivos. En este sentido, se destaca por:

• Manipulación emocional. Los ingenieros sociales suelen apelar a las emociones de sus víctimas, como el miedo o la curiosidad, para conseguir que actúen sin pensar.
• Confianza. Utilizan la confianza como herramienta, haciéndose pasar por entidades legítimas —bancos, empresas de tecnología o amigos— para ganar credibilidad.
• Ciberespacio como escenario. La ingeniería social se ejecuta frecuentemente a través de plataformas digitales, como correo electrónico, redes sociales y llamadas telefónicas.
• Técnicas de persuasión. Utilizan tácticas psicológicas para persuadir a las personas a que realicen acciones que normalmente no harían, como compartir contraseñas.
• Aprovechamiento de vulnerabilidades humanas. Se centra en el comportamiento humano, buscando identificar y explotar debilidades en el juicio de las personas.
• Investigación previa. A menudo se lleva a cabo una investigación minuciosa sobre el objetivo para personalizar el ataque y aumentar las probabilidades de éxito.
• Creación de urgencia. Muchas veces, los ataques incluyen un sentido de urgencia que obliga a la víctima a actuar rápidamente sin tiempo para pensar.

Técnicas de ingeniería social

Existen diversas técnicas que los ingenieros sociales emplean para llevar a cabo sus ataques a la seguridad cibernética. Aquí exploramos algunas de las más comunes:

1. Phishing

Es uno de los métodos más utilizados por los ciberdelincuentes. Se basa en el envío de correos electrónicos que aparentan ser de fuentes confiables y legítimas, solicitando a la víctima que proporcione información sensible y confidencial, como contraseñas o números de tarjeta de crédito.

2. Vishing

Es la contracción de las palabras “voice phishing“, que implica el uso de llamadas telefónicas fraudulentas para engañar a las personas y hacerles revelar información personal. Los delincuentes pueden hacerse pasar por representantes de servicios financieros o de atención al cliente para obtener datos sensibles.

3. Smishing

Esta es otra variante del phishing que se realiza a través del envío de mensajes de texto engañosos. Los mensajes pueden incluir enlaces a sitios web maliciosos o solicitar que se devuelva una llamada a un número fraudulento, con la finalidad de engañar al usuario y apoderarse de su información.

4. Pretexting

Esta técnica implica la creación de una historia falsa —el pretexto— para obtener información de la víctima. El ingeniero social puede presentarse como un empleado de una empresa o como alguien que ofrece asistencia técnica, con ello el usuario puede sentirse confiado al responder a sus preguntas.

5. Farming

Se refiere a la redirección del tráfico de usuarios a sitios web falsos que imitan a los legítimos. Esto se hace para capturar credenciales de acceso y otros datos personales. Cualquier información que se introduzca, como contraseñas o números de tarjetas de crédito, caerá directamente en manos del atacante.

6. Quid pro quo

Es una expresión que proviene del latín y significa "algo a cambio de algo". En el contexto de la ingeniería social, se refiere a ofrecer algo de valor a una víctima a cambio de información confidencial, como un descuento o premio. Es una técnica que juega con el deseo humano de obtener beneficios.

7. Baiting

Consiste en utilizar la curiosidad o la codicia de las personas para atraerlas a una trampa. Los atacantes crean "cebos" que son difíciles de resistir, como dispositivos USB infectados, tarjetas de regalo falsas o descargas gratuitas de software pirateado, así, los usuarios dan clic en enlaces o descargan archivos maliciosos.

¿Qué es un ataque de ingeniería social?

Es cualquier interacción en la que un atacante utiliza la manipulación para obtener acceso a información confidencial o sistemas. Este tipo de ataques puede ser altamente sofisticado y difícil de detectar, y puede variar en complejidad, desde simples correos electrónicos hasta elaboradas campañas que involucran múltiples puntos de contacto. Para realizar un ataque, se deben cumplir las siguientes fases:

1. Investigación. El atacante recopila información sobre su objetivo para especificar su enfoque.
2. Construcción de la relación. Se establece una conexión con la víctima, creando un ambiente de confianza.
3. Explotación. Se presenta la solicitud o se ejecuta el ataque para obtener la información deseada.
4. Ejecutar y cerrar. Una vez obtenida la información, el atacante puede usarla para su beneficio o venderla en el mercado negro.

Ingeniería social y ciberseguridad

La ingeniería social es una de las mayores amenazas en el campo de la ciberseguridad. A menudo, las defensas tecnológicas son ineficaces si el eslabón más débil, que suele ser el ser humano, es vulnerado. Por ello, es fundamental que tanto individuos como organizaciones implementen medidas de seguridad cibernética y de concientización para minimizar los riesgos.

De esta manera, la capacitación en ciberseguridad se considera como la clave para prevenir ataques de ingeniería social. En este sentido, las empresas deben invertir en programas de formación que eduquen a sus empleados sobre los peligros y las señales de alerta que pueden indicar un ataque. 

¿Cómo evitarla?

A continuación, se presentan algunas recomendaciones prácticas que sirven para protegerse de ataques de ingeniería social:

1. Mantener la información privada. Ser cauteloso al compartir datos personales en redes sociales. Configurar la privacidad del perfil para que solo los amigos o contactos puedan ver la información.
2. Verificar las solicitudes. Siempre verificar las solicitudes de información sensibles. Si se recibe un correo electrónico o una llamada sospechosa, contactar directamente a la empresa o persona que supuestamente lo envió.
3. Usar autenticación de dos pasos. Implementar la autenticación de acceso de dos pasos, añadiendo una capa extra de seguridad a las cuentas, dificultando que los atacantes accedan a los datos.
4. Utilizar contraseñas fuertes. Crear contraseñas únicas y difíciles de adivinar para cada una de las cuentas, combinando letras en minúscula y mayúscula, números y diversos caracteres especiales.
5. Mantener tu software actualizado. Es indispensable mantener actualizado tanto el sistema operativo como todas las aplicaciones que se encuentran instaladas en los dispositivos, para protegerse de las vulnerabilidades.
6. Ser escéptico. Es indispensable aprender a no confiar en correos electrónicos, llamadas telefónicas o mensajes de texto no solicitados, aunque parezca que cumplen con todos los elementos de una persona o empresa conocida.
7. Educar a los otros. Al ser parte de una comunidad, empresa o grupo, es importante educar a las otras personas sobre los riesgos de la ingeniería social, compartiendo los conocimientos sobre el tema y cómo prevenir los ataques.

Ejemplos

Analizar ejemplos de ingeniería social puede ser una experiencia reveladora para poder comprender la gravedad de este problema. Por ello, a continuación, se presentan algunos casos destacados:

Caso 1: Filtración de datos

En 2013, la cadena de tiendas Target sufrió una brecha de datos que expuso la información de 40 millones de tarjetas de crédito. Los atacantes utilizaron ingeniería social para engañar a un proveedor de servicios, logrando acceder a la empresa y robar datos sensibles.

Caso 2: Ataque a Sony Pictures

En 2014, Sony Pictures fue víctima de un ataque masivo que resultó en la filtración de datos de empleados y películas. Se cree que los atacantes utilizaron tácticas de ingeniería social para obtener credenciales de acceso y llevar a cabo el ciberataque.

Caso 3: Engaño del CEO

Un ingeniero social se hizo pasar por el CEO de una empresa y envió un correo electrónico a un empleado solicitando una transferencia de dinero urgente. El empleado, confiando en la autoridad del remitente, realizó la transferencia sin cuestionar.

Caso 4: Robo de datos de tarjeta

Un cliente recibió una llamada telefónica de alguien que se hacía pasar por un representante de su banco. La víctima reveló su número de tarjeta de crédito al estafador, luego que le informara que se estaba presentando un intento de compra sospechoso.

Caso 5: Descarga de un archivo infectado

Un empleado recibió un correo electrónico con un archivo adjunto que parecía ser una factura de uno de los proveedores más importantes de su empresa. El empleado descargó el archivo, infectando su computadora con ransomware oculto.

La ingeniería social representa un desafío constante en el mundo de la ciberseguridad, y es esencial que todos, especialmente las personas que están interesadas en este campo, comprendan su funcionamiento y cómo protegerse. La educación y la concientización son herramientas clave para combatir esta amenaza creciente.

En las Universidades de México, es posible encontrar diversas carreras en Ciberseguridad que sirven para formar a profesionales que utilizan la tecnología para garantizar la seguridad virtual. Algunos de los programas más destacados son los siguientes:

• 

  Licenciatura en Ciberseguridad

  Recibir información
• 

  Ingeniería en Sistemas Computacionales - Ciberseguridad (Especialización)

  Recibir información
• 

  Ingeniería en Seguridad Informática

  Recibir información
• 

  Maestría en Ciberseguridad

  Recibir información
• 

  Maestría en Ciencia de Datos con Especialidad en Ciberseguridad

  Recibir información
• 

  Maestría en Seguridad Informática con Especialidad en Auditoría de Ciberseguridad

  Recibir información
• 

  Master en Ciberseguridad

  Recibir información
• 

  Master en Dirección y Gestión de la Ciberseguridad con Titulación Universitaria

  Recibir información
• 

  Maestría en Ciberseguridad

  Recibir información