La ingeniería social es un tipo de ciberataque donde se manipula a personas con el objetivo de que realicen acciones negligentes o divulguen información confidencial. A diferencia de las formas tradicionales de hackeo -que se centran en lo técnico- la ingeniería social hace uso de técnicas de manipulación psicológica como el engaño.
Tipos de ataques de ingeniería social
- Phishing: consiste en el uso de mensajes, sitios web falsos o llamadas telefónicas malintencionadas para engañar a las víctimas para que proporcionen información confidencial; como contraseñas o datos bancarios.
- Baiting: se deja un artículo de valor infectado, como una unidad USB, para que la víctima lo encuentre y utilice; si esto se consigue, los atacantes podrán acceder al dispostivo de la víctima y acceder a la información confidencial.
- Pretexting: el atacante crea un contexto-escenario falso haciéndose pasar por un empleado del departamento técnico -o IT- de la empresa para engañar a otro para que revele sus datos.
- Quid pro quo: se ofrece cualquier algo de valor a cambio de información confidencial o acceso directo a un sistema. Un ejemplo sería que el atacante ofreciese un software de pago o servicio técnico a cambio del correo y contraseña de la víctima.
- Tailgating: de categoría presencial, también conocido como piggybacking; el atacante sigue al empleado a un área segura sin la debida autorización, simulando ser otro trabajador y pudiendo acceder a áreas restringidas.
Metodología
Tal y como se mencionó en la introducción, los ataques de ingeniería social se basan en la manipulación psicológica, haciendo uso de estas tres:
- Metiendo prisa: el atacante puede crear una sensación de urgencia para presionar -y agobiar- a las víctimas, haciendo que actúen rápidamente y sin pensar.
- Manipulando emocionalmente: apelando a sentimientos como el miedo o la codicia para cumplir con sus objetivos.
- Ganándose la confianza de la víctima: el ‘hacker’ puede hacerse amigo de la víctima o simplemente hacerse pasar por alguien de su confianza.
Ingeniería social en el contexto sociológico
La ingeniería social también tiene un impacto significativo en la sociedad, ya que se utiliza para manipular la opinión pública e incluso la manera en la que se relaciona la gente.
Los medios de comunicación (televisión, periódicos, plataformas web…) crean, incorporan y promocionan historias sensacionalistas para provocar fuertes reacciones emocionales en el lector, presentando información falsa o exacerbada para promover una agenda en particular.
Además, individuos en altas esferas como políticos o empresarios usan tácticas relacionadas con la ingeniería social para moldear la opinión del público -las masas- y beneficiarse personalmente de ello. Esto se logra mediante el uso de un lenguaje persuasivo y apelando a las emociones, con afirmaciones dudosas que no están consensuadas.
Por ello, es importante reconocer el peligro de la ingeniería social y estar atento a cualquier signo de ello; para ello, debemos siempre verificar las fuentes de donde obtenemos la información y también el tipo de léxico utilizado en el contenido. Con el fin de evitar ser manipulados.
Consecuencias
- Pérdidas económicas: principalmente por bajadas en el precio de las acciones al darse a conocer el ataque y la presencia de transacciones no autorizadas causadas por el robo de información.
- Daño en la reputación: puede ocurrir que se pierda la confianza de muchos clientes, dado que la ingeniería social se lleva a cabo en contextos que suelen dejar en mal lugar la capacidad de los empleados y la seguridad de la empresa-organización.
- Problemas a largo plazo: la información robada (credenciales, secretos comerciales, propiedad intelectual…) será vendida y accedida por terceros, lo que traerá consecuencias inesperadas a los clientes, empleados y la organización en su conjunto).
Impacto de la ciencia de datos en la ingeniería social
La ciencia de datos tiene el potencial de ejercer un papel fundamental en la defensa contra los ataques de ingeniería social. Mediante el uso de técnicas de procesamiento de lenguaje natural y aprendizaje automático, se analizarían grandes cantidades de datos sobre mensajes de correo electrónico y contenido de sitios web que nos permitirían identificar patones que indiquen un posible ataque. Además, la ciencia de datos nos ayuda a rastrear el comportamiento de los atacantes e intentar predecir su próximos movimientos.
Sin embargo, es importante tener en cuenta que los atacantes evolucionan constantemente en sus tácticas, y las empresas-organizaciones deben mejorar constantemente sus estrategias de ciberdefensa para mantenerse siempre al día. Esto conlleva seguir las recomendaciones mencionadas en el siguiente apartado.
Protección contra ataques de ingeniería social
Hay varios pasos que los individuos y las organizaciones pueden tomar para protegerse de los ataques de ingeniería social:
- Concienciar: se debe educar a las empresas y organizaciones sobre las tácticas utilizadas por los atacantes y también aprender a darse cuenta si se está siendo víctima de ello.
- Verificar: es muy importante asegurarse de que quien nos solicita la información es en realidad quien dice ser.
- Seguridad de operaciones: usar contraseñas únicas -es decir, no usadas en ningún otro servicio o web- dificultará a los atacantes acceder a la información robada. Es también muy importante usar la autenticación de dos factores siempre que sea posible y que la base de datos no las almacene en texto plano, sino en formato hash MD5.
- Dudar ante todo: esto implica mantener las distancias con cualquier desconocido y evitar interactuar con ningún contenido que no nos cuadre o parezca demasiado bueno para ser verdad.
Conclusión
La ingeniería social es un tipo de ciberataque que manipula a las personas con el objetivo de que revelen información confidencial. Utilizando técnicas de manipulación psicológica y consecuencias muy negativas de cara al presente y futuro de la empresa. Para protegerse, es importante estar alerta siempre que usemos un sistema informático, verificar quién solicita la información y adoptar una buena seguridad de operaciones (OPSEC).
