que es la ingeniería social
Manos controlando una marioneta.

¿Qué Es La Ingeniería Social?

Este artículo aborda el concepto de la ingeniería social, una técnica sofisticada que va más allá de lo tradicional y se infiltra en nuestra psicología. También se explica cómo impacta en diversos contextos, los tipos de ataques, las consecuencias de caer víctima de estos y las medidas de protección.

Explicación

La ingeniería social es un término que abarca una serie de técnicas utilizadas para manipular a las personas con el objetivo de que realicen acciones negligentes o divulguen información confidencial. Aunque comúnmente se asocia con ciberataques, la ingeniería social no se limita a este contexto y puede verse también en la manipulación de la opinión pública y en la política, entre otros campos. A diferencia de las formas tradicionales de hacking -que se centran en lo técnico- la ingeniería social hace uso de técnicas de manipulación psicológica como el engaño.

Ingeniería Social En El Contexto Sociológico

La ingeniería social tiene un impacto significativo en la sociedad, ya que se utiliza para manipular la opinión pública e incluso la manera en la que se relaciona la gente.

Algunos medios de comunicación (televisión, periódicos, plataformas web…) crean, incorporan y promocionan historias sensacionalistas para provocar fuertes reacciones emocionales en el lector, presentando información falsa o exacerbada para promover una agenda en particular.

Además, individuos en altas esferas como políticos o empresarios no son ajenos a usar tácticas relacionadas con la ingeniería social para moldear la opinión del público -las masas- y beneficiarse personalmente de ello. Figuras como Joseph Goebbels en la Alemania nazi utilizaron técnicas de ingeniería social de manera muy inteligente para manipular la opinión pública a favor del régimen. Esto se logra mediante el uso de un lenguaje persuasivo y apelando a las emociones, con afirmaciones dudosas que no están consensuadas.

Por ello, es importante reconocer el peligro de la ingeniería social y estar atento a cualquier signo de ello; para ello, debemos siempre verificar las fuentes de donde obtenemos la información y también el tipo de léxico utilizado en el contenido. Con el fin de evitar ser manipulados.

Metodología

Los ataques de ingeniería social se inician típicamente con una investigación y recopilación de información. En esta fase, el atacante dedica tiempo a estudiar a la víctima potencial, reuniendo datos de fuentes como redes sociales, sitios web y otros recursos públicos. Esta información puede ser datos personales, afiliaciones y cualquier otro detalle que facilite la tarea de establecer un rapport o impersonar a alguien de confianza. Armado con esta información, el atacante decide cómo establecer un punto de contacto, eligiendo el medio más efectivo, ya sea a través de un correo electrónico, una llamada telefónica o un mensaje directo.

Una vez que el contacto ha sido establecido, el atacante emplea tácticas psicológicas específicas para manipular a la víctima. Estas tácticas pueden variar desde meter prisa, manipulando emociones como el miedo o la codicia, hasta ganarse la confianza de la víctima al hacerse pasar por un amigo o un conocido. El objetivo aquí es hacer que la víctima actúe de manera impulsiva, ya sea proporcionando información confidencial o realizando alguna acción que beneficie al atacante.

Finalmente, con la víctima bajo su influencia, el atacante procede a la extracción de información o manipulación de la víctima. La información recopilada, como contraseñas o datos bancarios, se utiliza para fines malintencioados, como el acceso no autorizado a cuentas o la transferencia de fondos. Alternativamente, el atacante puede persuadir a la víctima para que realice acciones específicas, como instalar software malicioso. Una vez que el objetivo ha sido alcanzado, el atacante se retira, a menudo tomando medidas para borrar cualquier rastro de su interacción y dificultar el rastreo por parte de la víctima o las autoridades.

Tipos De Ataques De Ingeniería Social

  • Phishing: consiste en el uso de mensajes, sitios web falsos o llamadas telefónicas malintencionadas para engañar a las víctimas para que proporcionen información confidencial; como contraseñas o datos bancarios. Un ejemplo común es un correo electrónico que parece venir de tu banco, pero que en realidad es un intento de robo de tus datos de inicio de sesión.
  • Baiting: se deja un artículo de valor infectado, como una unidad USB, para que la víctima lo encuentre y utilice; si esto se consigue, los atacantes podrán acceder al dispositivo de la víctima y acceder a la información confidencial.
  • Pretexting: el atacante crea un contexto-escenario falso haciéndose pasar por un empleado del departamento técnico -o IT- de la empresa para engañar a otro para que revele sus datos. Un ejemplo sería una llamada de alguien que pretende ser del soporte técnico de la entidad que manufacturó tu ordenador o sistema operativo, pidiendo acceso a tu ordenador para “arreglar un problema”.
  • Quid pro quo: se ofrece cualquier algo de valor a cambio de información confidencial o acceso directo a un sistema. Un ejemplo sería que el atacante ofreciese un software de pago o servicio técnico a cambio del correo y contraseña de la víctima.
  • Tailgating: de categoría presencial, también conocido como piggybacking; el atacante sigue al empleado a un área segura sin la debida autorización, simulando ser otro trabajador y pudiendo acceder a áreas restringidas.
  • Vishing: similar al phishing, pero realizado vía telefónica. Un ejemplo común es un estafador que llama pretendiendo ser del banco del destinatario, solicitando datos confidenciales.
  • Smishing: consiste en la utilización mensajes de texto fraudulentos para engañar a las víctimas. Un ejemplo de esto son los mensajes de texto falsos sobre entregas de pedidos pendientes, solicitando que hagan clic en enlaces maliciosos.

Consecuencias

  • Pérdidas económicas: principalmente por bajadas en el precio de las acciones al darse a conocer el ataque y la presencia de transacciones no autorizadas causadas por el robo de información.
  • Daño en la reputación: puede ocurrir que se pierda la confianza de muchos clientes, dado que la ingeniería social se lleva a cabo en contextos que suelen dejar en mal lugar la capacidad de los empleados y la seguridad de la empresa-organización.
  • Problemas a largo plazo: la información robada (credenciales, secretos comerciales, propiedad intelectual…) será vendida y accedida por terceros, lo que traerá consecuencias inesperadas a los clientes, empleados y la organización en su conjunto).

Casos Reales

Las consecuencias teóricas de los ataques de ingeniería social suenan alarmantes, pero nada ilustra su gravedad como los siguientes sucesos en los últimos años:

I. Target [2013]

Target, una de las principales cadenas de tiendas minoristas en EE.UU., sufrió una catastrófica filtración de datos debido a un ataque de ingeniería social. Los atacantes inicialmente obtuvieron acceso a través de un proveedor HVAC utilizando técnicas de phishing, lo que les permitió posteriormente infiltrarse en la red interna de Target. Como resultado, los datos de aproximadamente 40 millones de tarjetas de clientes se vieron comprometidos. La confianza de los consumidores en la marca se vio gravemente afectada, provocando una caída en el precio de las acciones de la empresa. Los costes subsiguientes para abordar el incidente, junto con las demandas, superaron los cientos de millones de dólares.

II. Sony Pictures [2014]

Esta conocida empresa fue víctima un ataque masivo en el que se sustrajo una gran cantidad de datos confidenciales. Aunque la narrativa más grande gira en torno a la naturaleza geopolítica del ataque, la ingeniería social jugó un papel decisivo. Los atacantes emplearon tácticas de phishing, dirigidas específicamente a empleados clave, para obtener acceso. Una vez dentro, extrajeron y posteriormente filtraron correos electrónicos, detalles personales de empleados y otros datos confidenciales. Las consecuencias fueron múltiples: costes iniciales superiores a $15 millones solo en la respuesta al incidente, serias repercusiones en las relaciones públicas y legales debido a la información revelada, y pérdidas financieras derivadas de la filtración de guiones y otros materiales privados.

III. Twitter [2020]

Tres jóvenes lograron engañar a empleados de Twitter para obtener acceso a herramientas internas de administración. Esta manipulación les permitió controlar cuentas de alto perfil y solicitar bitcoins a millones de seguidores (obtuvieron ~$118.000). Aunque “el robo” de bitcoins fue la manifestación visible del ataque, las implicaciones para Twitter fueron mucho más profundas. Esta brecha expuso una debilidad crítica en las medidas de seguridad y capacitación del personal de la plataforma. Como consecuencia, la confianza en la capacidad de Twitter para proteger a sus usuarios más prominentes se vio comprometida, lo que suscitó interrogantes sobre la robustez general de la seguridad en la plataforma.

Importancia de La Ciencia De Datos En La Ingeniería Social

La ciencia de datos tiene el potencial de ejercer un papel fundamental en la defensa contra los ataques de ingeniería social. Mediante el uso de técnicas de procesamiento de lenguaje natural y machine learning, se analizarían grandes cantidades de datos sobre mensajes de correo electrónico y contenido de sitios web que nos permitirían identificar patrones que indiquen un posible ataque. Además, la ciencia de datos nos ayuda a rastrear el comportamiento de los atacantes e intentar predecir su próximos movimientos.

Sin embargo, es importante tener en cuenta que los atacantes evolucionan constantemente en sus tácticas, y son capaces de usar el análisis de datos a su favor, por lo que las empresas-organizaciones deben mejorar constantemente sus estrategias de ciberdefensa para mantenerse siempre al día. Esto conlleva seguir las recomendaciones mencionadas en el siguiente apartado.

Prevención Contra Estos Ataques

Hay varios pasos que los individuos y las organizaciones pueden tomar para protegerse de los ataques de ingeniería social:

  1. Concienciar: se debe educar a las empresas y organizaciones sobre las tácticas utilizadas por los atacantes y también aprender a darse cuenta si se está siendo víctima de ello.
  2. Verificar: es muy importante asegurarse de que quien nos solicita la información es en realidad quien dice ser.
  3. Seguridad de operaciones: usar contraseñas únicas -es decir, no usadas en ningún otro servicio o web- dificultará a los atacantes acceder a la información robada. Es también muy importante usar la autenticación de dos factores siempre que sea posible y que la base de datos no almacene las contraseñas en texto plano, sino en formato hash.
  4. Mantener un sentido crítico: esto implica mantener las distancias con cualquier desconocido y evitar interactuar con ningún contenido que no nos cuadre o parezca demasiado bueno para ser verdad.

Conclusión

La ingeniería social es un tipo de ciberataque que manipula a las personas con el objetivo de que revelen información confidencial. Utilizando técnicas de manipulación psicológica con graves consecuencias para el presente y el futuro de cualquier empresa. Para protegerse, es importante estar alerta siempre que usemos un sistema informático, verificar quién solicita la información y adoptar una buena seguridad de operaciones (OPSEC).