Ingeniería Social: Cómo puedes ser hackeado sin enterarte
Nuestras vulnerabilidades naturales como humanos pueden ser explotadas mucho más fácilmente que las de un software o hardware en muchas ocasiones.
La ingeniería social hace esto, explota nuestras debilidades psicológicas para extraer información.
Aplicar principios sociológicos para solucionar cualquier tipo particular de problemas, o utilizar la manipulación de las posiciones sociales de los individuos para intentar cambiar la sociedad; son ambos, conceptos aplicables a la ingeniería social. Ahora bien, en el contexto de la seguridad informática, la ingeniería social tiene que ver con la manipulación psicológica de las personas para extraer información de ellas.
Existen muchas técnicas de ingeniería social que son usadas constantemente para cometer todo tipo de fraudes, a las que todos nos vemos expuestos simplemente por nuestra inevitable psicología humana.
Quienes utilizan ingeniería social con propósitos maliciosos, tienden a decir que es más fácil «hackear» a un humano que hackear una computadora, simplemente porque la «gente es tonta«.
Realmente no se trata de que una persona sea tonta, se trata de gente que no está informada, o de que el intruso logra encontrar en la víctima una debilidad para ganarse su confianza y luego explotarla.
Aplicar ingeniería social, es hacer que una persona confíe en ti con el propósito de extraer información de ella que luego usarás para tu propio beneficio. Es el arte de la manipulación.
Habrán casos en los que para obtener las contraseñas o números de tarjeta de crédito de alguien solo baste con pedirselos como si fuese algo normal, y esa persona nunca se cuestionará las intenciones o la legitimidad de las palabras de quien solicita la información.
Mientras que, alguien que esté al menos un poco familiarizado con este tipo de prácticas tal vez dude de el por qué debe dar esta información e intente verificar quién es en realidad el solicitante.
Ejemplos:
- Le hablamos del departamento de soporte de su empresa de correo empresarial para informarle que hemos detectado intentos de acceso no autorizado a su buzón y es necesario actualizar el password de su cuenta para evitar que su correo se vea comprometido. Para hacer la actualización necesitamos verificar que efectivamente es usted el titular de la cuenta por lo que pedimos nos confirme su password actual y su fecha de nacimiento e indicarnos un password nuevo de 10 caracteres alfanuméricos…
- Buenos días, le estamos llamando de su compañía de cable para informarle que no hemos podido realizar el cargo mensual de su servicio por un problema con su tarjeta de crédito, ¿Podría ser tan amable de confirmarnos sus datos para intentar realizar el cargo nuevamente?
La ingeniería social puede variar desde algo simple como los ejemplos anteriores, hasta las estafas más elaboradas en las que una persona puede pretender ser alguien que no es, ganarse tu confianza por incluso meses, o hasta formar parte de tu círculo social para luego pedirte por alguna razón de la que no vas a dudar, información personal.
El objetivo siempre es tener acceso a algo.
Phishing
Phishing o suplantación de identidad es un término informático que denomina un modelo de abuso informático y que se comete mediante el uso de un tipo de ingeniería social caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria).
El cibercriminal, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea o incluso utilizando también llamadas telefónicas.
Dado el creciente número de denuncias de incidentes relacionados con el phishing, se requieren métodos adicionales de protección. Se han realizado intentos con leyes que castigan la práctica y campañas para prevenir a los usuarios con la aplicación de medidas técnicas a los programas.
Vishing
Vishing es una práctica criminal fraudulenta en donde se hace uso del Protocolo Voz sobre IP (VoIP) y la ingeniería social para engañar personas y obtener información delicada como puede ser información financiera o información útil para el robo de identidad.
El término es una combinación del inglés «voice» (voz) y phishing.
Ejemplo de fraude vishing:
- El criminal configura un disparador de llamadas para llamar a números telefónicos en una determinada región.
- Cuando la llamada es contestada, una grabación toca y alerta que al «consumidor» que su tarjeta de crédito está siendo utilizada de forma fraudulenta y que este debe llamar al número que sigue inmediatamente. El número puede ser un número gratuito falseado para la compañía financiera que se pretende representar.
- Cuando la víctima llama a este número, es contestada por una voz computarizada que le indica al «cliente» que su cuenta necesita ser verificada y le requiere que ingrese los 16 dígitos de su tarjeta de crédito.
- Cuando la persona provee la información de su tarjeta de crédito, el visher tiene toda la información necesaria para realizar cargos fraudulentos a la tarjeta de la víctima.
- La llamada puede ser también utilizada para obtener detalles adicionales como el PIN de seguridad, la fecha de expiración, el número de cuenta u otra información importante.
Además de las mencionados, existen otros métodos utilizados dentro de la Ingeniería social, todos ellos, hacen uso del engaño y la confusión para llevarnos a la trampa, por lo que debemos estar alerta en todo momento, y sobre todo, hacer uso del sentido común.
Desafortunadamente no basta tener sentido común, esto sólo es útil para ataques simples y fáciles de detectar.
Ser siempre desconfiado sea probable la única protección, pero no se puede estar tan alerta todo el tiempo.
Algunas medidas que podemos tomar son:
- Verificar la identidad de alguien que nos solicíte información personal. Cuando sea posible optar por llamar proactivamente con el proveedor en sus vías de contacto oficiales.
- No debemos nunca abrir archivos adjuntos ni hacer clic en enlaces de correos no solicitados con remitentes desconocidos o sospechosos.
- Nunca compartir números de cuenta, tarjetas de crédito, contraseñas, o nombres de usuario con nadie vía correo electrónico.
- No reveles tus contraseñas a nadie, ni tampoco las mantengas a la vista en una nota en el escritorio ni nada parecido.
- Cuando trabajamos con información sensible, procuremos estar pendientes de si alguien está observándonos. Ya sea la pantalla de la computadora en el trabajo, o hasta la del móvil en la calle. Este es básicamente el mismo consejo que te da el banco al usar un cajero automático, no permitir que nadie se acerque lo suficiente como para que pueda ver cuando ingresas tu PIN.
- No creer cualquier cosa que te diga un extraño por muy «bueno» que parezca.
Estar bien informado de las formas en que pueden estafarte, es sin duda una buena medida para evitar ser sorprendido fácilmente. Comparte con tus familiares y amigos esta información, seguramente a alguien le ahorrarás una pérdida.