top of page

Ingeniería social: el engaño más viejo de la humanidad


Por Juan Carlos París Balleza/Panamá

(ITNOW)-.   La ingeniería social es un término que se ha vuelto muy relevante en los últimos años. Se refiere al arte de “engañar” o hacer que una persona ejecute una acción que puede ser perjudicial. Generalmente está asociada a la ciberseguridad o seguridad de la información. En pocas palabras es el arte de “jaquear” a alguien, entendiendo que siempre será más fácil engañar a una persona que a un computador.

En español la palabra “jaquear” hace referencia en el ajedrez a poner en “jaque” al rey poniéndolo en peligro. Pero la palabra “jaquear” también proviene de la voz inglesa “hacker”. Inicialmente la RAE  definió al “jáquer” como un pirata informático.

Posteriormente al considerar que todos los “jáqueres” no son malos, se creó una segunda acepción al agregar la definición que se cita a continuación:  

“2. m. y f. Inform. Persona con grandes habilidades en el manejo de computadoras que investiga un sistema informático para avisar de los fallos y desarrollar técnicas de mejora.”

Esta segunda definición fue del beneplácito de todo el grupo de jáqueres de sombrero blanco que están del lado del bien. Estos son aquellos que usan sus habilidades para innovar y detectar fallas y vulnerabilidades antes de que sean aprovechadas por los ciberdelincuentes.

El primer caso de ingeniería social documentado.

El engaño está presente desde el origen del hombre, la Biblia está llena de referencias de ingeniería social. Desde la caída de Adán y Eva en el Edén, engañados por la serpiente haciéndoles creer que si comían del fruto prohibido serían iguales a Dios.

A Sansón también lo engaño el mal representado por Dalila.  Ella usó sus habilidades y belleza para que Sansón le revelara el verdadero origen de su extraordinaria fuerza lo que dio origen a su caída.

La ingeniería social en acción

En plena pandemia me contactó un alto ejecutivo de una institución financiera internacional quien fue víctima de un ataque informático basado en ingeniería social. Los atacantes lograron hacerse con una copia de su tarjeta SIM de teléfono. Este ataque se conoce como: sim swapping”.

Al tener acceso al número telefónico de la víctima y como piezas de un dominó todos y cada uno de los servicios que esta persona tenía registrados inicialmente con ese número, así como su correo, fueron cayendo en manos del atacante uno a uno.

En una secuencia fatal, se comprometieron en este orden: número telefónico, correo electrónico, cuentas de redes sociales, servicios de mensajería y billetera electrónica.

Una de las consecuencias fue la sustracción inmediata de 4.5 Bitcoins, con un valor actual de 34.472,74$ por Bitcoin. Hagan ustedes mismos el cálculo para que estimen la magnitud del robo.

Hoy en día los bancos y las personas ya no se roban con pistolas y pasamontañas. Ahora los delincuentes desde la comodidad y seguridad de su hogar realizan sus fechorías con una computadora y una conexión a internet.


La desconfianza y la precaución son los padres de la seguridad

Esta frase atribuida a Benjamín Franklin es quizás una de las mejores recomendaciones que podemos hacer a la hora de protegernos de la ingeniería social. El ser humano es confiado, descuidado y servicial por naturaleza, nos gusta crear empatía mediante el servicio y ayuda a otros.

A las personas nos cuesta decir que NO, lo que entienden muy bien los delincuentes que utilizan un sinnúmero de técnicas y estrategias basadas en nuestra bondad. Dicha bondad mal empleada puede ser muy efectiva y perjudicial para nosotros como individuos y para nuestras organizaciones o lugares de trabajo.

Ejemplo del caso de ingeniería social más común

Hagamos un pequeño experimento juntos. Lee pausadamente el siguiente mensaje enviado por su madre:

“Querido hijo, necesito tu ayuda urgentemente, sabes que no soy muy buena con temas de tecnología, mi teléfono se dañó y estoy usando el numero de una vecina para que por favor me compartas un código que te va a llegar a tu WhatsApp, para que por favor me lo compartas cuanto antes y así recuperar mi cuenta.”

Si al leer este mensaje pudo usted ver y escuchar a su madre diciendo cada palabra, ha sido víctima de una ingeniería social muy básica.

Si alguien recibe un correo electrónico o mensaje de texto de una persona conocida o de un familiar o ser amado, leerá ese mensaje visualizando el rostro de la persona, su voz, entonación incluso, mentalmente podrá ver las expresiones y gestos de quien “dice” ser el autor de este mensaje.

Ahora imaginen que el delincuente tiene datos específicos y personales, como el nombre propio, apodos, o el nombre de algún familiar cercano, etc. El impacto y efectividad del ataque puede aumentar dramáticamente su efectividad.

El ejemplo anterior fue un simple phishing de los muchos que existen. Se envía un correo o mensaje a cientos de posibles víctimas esperando que una o varias caigan en el engaño y muerdan el anzuelo. Cuando el atacante tiene nuestra información detallada es un ataque personalizado y dirigido a un solo individuo u organización lo que conocemos como: spear phishing”.

Ejemplo de una modalidad de ingeniería social emergente

Veamos un segundo ejemplo basado en la oportunidad y emergencia:

“Hola buenas tardes le escribe Angélica Paz de Microsoft, hemos detectado que su computadora tiene en estos momentos un virus informático muy peligroso que podría borrar toda su información y dañar su equipo. Debe contactarnos de manera inmediata al número” telf.: 999-999-999, o haciendo clic en el siguiente enlace: http://microsoft.soporte.icrt.com

Los ataques de phishing simulando ser personal de soporte técnico interno o externo están en franco crecimiento. Son una de las demostraciones de ingeniería social más empleada en estos momentos.

Todo ataque o intento de ataque de ingeniería social siempre tendrá un factor humano en su objetivo. Entendiendo que somos humanos y actuamos y respondemos en base a nuestras emociones y sentimientos.

¿Cómo podemos protegernos de la ingeniería social?

Aquí te comparto siete recomendaciones para protegerte de la ingeniería social:

  1. Ser desconfiado por naturaleza, cuestionar todo lo que no podamos verificar a ciencia cierta o tener la absoluta certeza de su veracidad con el supuesto emisor de la información o instrucción recibida.

  2. Seguir siempre los canales regulares para cualquier trámite o procedimiento respetando los procesos, buenas prácticas y recomendaciones.

  3. Usar un el sentido común que, como dice el dicho popular, es el menos común de los sentidos.

  4. No actuar de manera impulsiva o automática a la hora de realizar acciones como: hacer clic en un enlace extraño, instalar una aplicación de dudosa procedencia o compartir información confidencial con extraños, etc.

  5. Ser extremadamente celoso con los datos que publicamos y compartimos con terceros. Esa simple acción puede exponer información clave que pueden usar los delincuentes para hacer ataques más personalizados, elaborados y directos.

  6. Mantenerse informado para crear una verdadera sensibilidad con el resguardo de su información, cada día los delincuentes se van perfeccionando y sofisticando mucho más en sus formas de ataque. La ingeniería social se ha convertido en el facilitador de más del 90% de los fraudes, engaños y ataques perpetrados por los ciberdelincuentes.

  7. Detenerse, pensar y actuar. La mayoría de los ataques de ingeniería social están basados en la oportunidad, la inmediatez y la falta de pensamiento o razonamiento crítico que es nuestra mayor debilidad ante estos ataques.

Cuestionar todo

Si estás atento a tu entorno, cuestionas todo cuanto recibes en tus dispositivos electrónicos, incluyendo las llamadas telefónicas, cuidas la información que compartes y las acciones que ejecutas que puedan comprometer o poner en riesgo tu información y los sistemas que usas, ya te estarás convirtiendo en ese firewall” o “cortafuegos humano” del cual hablo en todas mis presentaciones.

Ese cortafuegos humano lo definimos como: “aquel compromiso adquirido por un grupo de personas, en este caso de trabajadores de una entidad o un único individuo, para llevar a la práctica aquellas medidas, tanto preventivas como reactivas, que tengan como objetivo la implementación de la seguridad de la información”.

Detente, deja todo lo que estás haciendo, piensa, razona y cuestiona las acciones o información que estas por compartir, actúa, prudentemente evaluando la situación y contemplando sus posibles resultados.

Si sigues estos consejos podrás blindar tu información para que no caiga en manos inescrupulosas.


Comments


bottom of page