La Ingeniería Social y el eslabón más débil de la Ciberseguridad

La Ingeniería Social y el eslabón más débil de la Ciberseguridad

 

Cada vez se habla más de Ingeniería Social y es un fenómeno en crecimiento donde día a día más personas se ven involucradas; sin embargo, esta familiaridad del término no siempre se comparece con un conocimiento acabado sobre qué refiere realmente. En términos generales, se denomina así a aquellas acciones o técnicas que buscan influir sobre el comportamiento de las personas a través de la manipulación psicológica. De este modo, divulgar información, entregar dinero o proporcionar claves y accesos privados o secretos, son algunas de estas conductas indeseadas involucradas dentro de la Ingeniería Social y que tienen un correlato directo sobre la Ciberseguridad y, por ende, expone la vulnerabilidad de los sistemas.

No importa cuánto una organización invierta en software, hardware y educación preventiva o correctiva, los usuarios representan al eslabón más débil dentro de la cadena de procesos a tener en cuenta al momento de desarrollar un sistema de seguridad informática o de prevención de Ciberataques, fraudes o estafas.

¿Cómo funciona?

La Ingeniería Social se basa en la interacción humana y, a través de una amplia gama de comportamientos, se busca explotar la curiosidad, la preocupación, la urgencia etc. Dado que nuestra interacción social mayoritariamente es a través de internet, es allí donde se produce la gran mayoría de los ciberataques.

Los ciberdelincuentes utilizan estos tipos de ataques, conocidos por el folclore popular como “el cuento del tío”, ya que es un arma muy eficaz para obtener datos e, incluso, convertirse en un paso para un ataque mayor.

Técnicas de Ingeniería Social más populares en la actualidad

Ahora bien, repasemos cuáles son esas prácticas más habituales para prestarles especial atención:

• Phishing, también conocido como “Suplantación de Identidad”, se trata del envío de un mail “disfrazado” como una fuente legítima y confiable. Por ejemplo, pueden solicitar datos personales, credenciales de home banking, datos de tarjeta, etc.
• Spear Phishing, variante del anterior, que es altamente dirigida, personalizándose para cada persona específica.
• Vishing, es un tipo de suplantación, pero a través de una llamada telefónica (voz), intentando hacerse pasar por personal de una empresa, soporte técnico o incluso algún familiar.
• Smishing, este tipo de suplantación es a través de mensajes de texto intentando convencerte de que visites un enlace fraudulento.
• Cebo, muchas veces, dispositivos de accesos como son las cargadores públicos o memorias USB son utilizados para obtener información o infectar equipos de usuarios.
• Algo por Algo, son un tipo de estafa en concursos fraudulentos o promociones irreales que piden ciertos datos para acceder a los premios o descuentos.
• Pretexto, ante una historia inventada los estafadores los utilizan para perpetrar engaños y estafas y obtener información personal, de la empresa o bancaria.
• Fraude por cuentas robadas, combinan varias de las técnicas anteriores. Los atacantes, se hacen del control de correo electrónico de una víctima para estafar a los contactos.

¿Cómo detectar o prevenir estas acciones fraudulentas?

• Confirmar remitente: Bastará con confirmar el remitente para darse cuenta que la comunicación es fraudulenta, ya que nada tiene que ver con la entidad que representa. Además, los estafadores suelen utilizar cuentas de correo de otros usuarios a los que han hackeado para enviar e-mails fraudulentos.

Si hemos recibido un correo que parece provenir de una entidad bancaria o similar, es probable que provenga de una cuenta conocida o bien cuentas como contacto@banco.com.ar, no-reply@banco.com.ar, etc. 

Es importante revisar carácter a carácter, pues también son frecuentes suplantaciones cambiando alguna letra o utilizando un carácter de grafía similar o que suene igual como contacto@banoc.com.ar, no-reply@bancco.com.ar. Esta técnica se conoce como spoofing.

En general, sospechar de todo mensaje de remitente desconocido; ante la duda, comprobarlo por otro medio.

 

• Cuando la limosna es grande, hasta el santo desconfía: Muchas veces el pensamiento crítico va a ser nuestra mejor defensa para evitar un ataque de Ingeniería Social. Si ofrecen Bitcoin de manera gratuita, celulares con descuentos irrisorios; por más que firme una supuesta marca importante, es vital la intuición y el sentido común para evitar fraudes.

 

• Cambiar la configuración de Spam en sus correos electrónicos: Una manera fácil de protegerse de este tipo de ataques es revisar y ajustar la configuración de su correo electrónico. De esta manera, podrá endurecer los filtros y evitar ver en bandeja de entrada mails de spam de Ingeniería Social.

 

• Utilizar soluciones de seguridad y confianza: Utilizar antivirus y herramientas de seguridad que prevendrán infecciones mediante exploits o códigos maliciosos, entre otros.

• Correos impersonales y mala redacción: Los correos enviados por los ciberdelincuentes suelen realizar la redacción refiriéndose al destinatario como “usuario”, “cliente”, “estimados”, en lugar de los nombres y apellidos del destinatario.
  Otra alerta es cuando un mail posee graves faltas de ortografía o de redacción. 

 

• Documentos adjuntos maliciosos y enlaces fraudulentos: Mucho cuidado con los documentos adjuntos y los enlaces en los mails, ya que es la principal forma de infección con malware. Si tenemos dudas, solo bajemos el archivo para analizarlo con nuestro antivirus y nunca ejecutarlo. En cuanto a los links, siempre es preferible ir a Web oficial y no hacer clic en los enlaces. Por norma, las entidades oficiales no envían adjuntos ni links.

 

• Habilitar Multi factor de autenticación: Hoy, todas las aplicaciones, incluyendo las mensajerías electrónicas (como WhatsApp o Telegram), mails (Google, Yahoo, Outlook, etc.), redes sociales (Instagram, Facebook, Twitter, etc.) por nombrar algunas; cuentan con varias medidas de autenticación para evitar fraudes.

 

• Tener cuidado con las WIFI públicas: En conexiones libres como en bares, cafés y lugares públicos, es necesario tener en cuenta no usar servicios que requieran información sensible como usuarios y contraseñas. 

• Observar las URL: las URL identificadas como “https” son las consideradas seguras; es importante de considerar.

Cualquiera puede sufrir un ataque de ingeniería social y hoy el valor de los datos sigue en alza. Las personas que no disponen de conocimientos tecnológicos o están más aisladas socialmente, como los ancianos, son más vulnerables. Sin embargo, estar atento a estas recomendaciones, son la mejor manera de prevenir fraudes y evitar ser víctima de estos delitos.