Tecnología

¿Saben lo que es la ingeniería social?

Con el arribo del internet y las redes sociales esta actividad delictiva ha aumentado vertiginosamente en los últimos tiempos y, con ella, nuevas modalidades cibernéticas de estafas y fraudes.

¿Alguna vez les ha llegado algún mensaje por correo electrónico informándoles que su servicio bancario está por ser deshabilitado y que, por consiguiente, deben reingresar sus credenciales de manera expedita para evitarlo? ¿O quizá uno con la buena nueva de que han sido los afortunados ganadores de un premio y que, para poder reclamarlo, deben brindar información confidencial?

Si creen que les ha pasado y que, por suerte o por cautela, salieron bien librados, probablemente hayan sido el objetivo de las maniobras engañosas de un ingeniero social. ¡Y hoy, más que nunca, es fundamental conocer acerca de este tema!

La ingeniería social se reinventa y evoluciona para llegar a sus víctimas por diversos medios.

¿Qué es la ingeniería social?

Este término poco conocido se refiere a una profesión que comenzó a ejercerse desde antes de Cristo y que no siempre tuvo una connotación negativa. De hecho, en la antigua Roma los ingenieros sociales eran, principalmente, oradores con la habilidad de convencer y su trabajo consistía en actuar como interlocutores en beneficio del Estado.

Y, si avanzamos rápidamente en el tiempo, seguro que recordarán al famoso impostor y falsificador de cheques estadounidense de los años 70, Frank Abagnale, Jr., en cuya vida se basó la película protagonizada por Leonardo DiCaprio, Atrápame si puedes.

Este sofisticado ingeniero social representa la esencia de lo que en la actualidad conforma esta profesión que se dedica a manipular, persuadir o a influir en una persona por medio de diversas técnicas psicológicas y habilidades sociales para llevarla a revelar información sensible que pueda ser utilizada con el fin de cumplir metas maliciosas.

Hoy día, está más presente que nunca, especialmente en los medios digitales debido a la gran cantidad de información que se genera a través del uso infinito de dispositivos conectados al internet.

Por esto, para los expertos en ciberseguridad Eddy Fortoul, Vicepresidente Asistente de Seguridad de la Información y Prevención de Fraudes de Banco General y Pablo A. Castillo, Vicepresidente de Tecnología y Procesos de la Compañía de Seguros ASSA, es más que necesario crear conciencia sobre los riesgos que implican los ciberataques, las consecuencias económicas y emocionales que traen, y cómo proteger y cuidar sus datos.

Debemos, además de cuidar nuestra información, también proteger la de nuestros familiares, amigos y allegados más vulnerables.

Cayendo en la trampa

Pero, ¿qué tan fácil es caer en sus garras? ¡Más fácil de lo que creen! Podríamos comenzar por decir que un ingeniero social termina convirtiéndose en una especie de psicólogo, ya que se enfoca en la parte mental y emocional de la víctima para lograr llamar su atención.

Una simple llamada telefónica con un mensaje de carácter urgente o de amenaza, donde el atacante se haga pasar por una fuente de su confianza o un correo electrónico que logre con su lenguaje convencerlos de hacer clic en un enlace o archivo infectado, conlleva una táctica psicológica bien elaborada.

De ahí que Fortoul afirme que “el eslabón más débil de la cadena somos nosotros mismos”, agregando que, por lo general, el perfil que escogen los ingenieros sociales son adultos mayores o personas que no tengan ni mucho conocimiento tecnológico ni estén conscientes del valor que representan sus datos personales. A su vez, Castillo señala que “el correo electrónico es el método más habitual utilizado por los ciberdelincuentes” para realizar sus fechorías.

Existen diversas modalidades informáticas dentro de la ingeniería social como el baiting o el pretexting, pero según Fortoul y Castillo, entre las más usuales se encuentran:

-Perfiles falsos: Es la suplantación de la identidad de alguien o la creación de alguna que realmente no existe. Por ejemplo: lo hecho por el estafador israelí Shimon Yehuda Hayut, cuya historia delictiva fue expuesta en la película de Netflix, El estafador de Tinder.

Phishing: Un 90% de los ciberataques son realizados a través de este tipo de hackeo que busca quitarle las credenciales (contraseñas o números de tarjeta de crédito) al incauto o a las de su empresa para utilizarlas en actividades maliciosas.

Su modus operandi comienza usualmente cuando el incauto, escogido aleatoriamente, recibe un correo electrónico falso, haciéndose pasar por personas o instituciones de su confianza.  Por ejemplo: “Hola, Luis, su tarjeta de crédito ha sido desactivada debido a las nuevas normas de seguridad del banco. Para reactivarla, debe cliquear en este enlace y llenar el siguiente formulario”. Esta modalidad también utiliza correos con contenido inofensivo como videos amigables, los cuales vienen acompañados de archivos adjuntos con virus.

-Spear Phishing: Este tipo de phishing es mucho más especializado y personalizado, ya que la información de la  víctima o grupo específico de víctimas es estudiada por el delincuente, con el objetivo de que el correo malicioso parezca ser enviado por una fuente confiable y exclusivamente para el destinatario.

-Fraude del CEO o ataque BEC (Business Email Compromise): Esta modalidad va dirigida generalmente a ejecutivos de alto rango de una empresa, donde el primer paso del estafador es estudiar, sea por medio de las redes sociales o físicamente, el comportamiento y lenguaje del alto ejecutivo por el que se quiere hacer pasar.

Asimismo, realiza una labor de espionaje al monitorear su agenda de actividades con el fin de determinar la ventana de tiempo adecuada para entrar en acción. Habiendo terminado esta fase, el estafador envía el correo electrónico falso a los colegas o empleados del alto ejecutivo, dándoles instrucciones de realizar transferencias o brindarle información delicada de carácter urgente y bajo estricta confidencialidad.

Fortoul, quien también es miembro de una red regional de CISO (Chief Information Security Officer) de bancos latinoamericanos, nos cuenta que desde el punto de vista económico, la estafa más grande que se ha realizado a nivel mundial ha sido a través de esta modalidad. Como ejemplo, del año 2013 al 2015 Facebook y Google fueron víctimas de estafa BEC por unos US$100 millones.

-Smishing: Esta variante del phishing es realizada a través de mensajes de texto (SMS) donde el delincuente se hace pasar por una persona o empresa de confianza del incauto para quitarle información confidencial de su teléfono móvil. Por ejemplo: “Hola, Carolina, su paquete no ha podido ser entregado, ya que aún hay un pago pendiente de US$3.99. Por favor, para cancelarlo, descargue el siguiente enlace…”

Con respecto al smishing, Castillo nos comenta que últimamente se ha visto un incremento en el uso de esta modalidad de ingeniería social para engañar a los asegurados.

-Pharming: Esta actividad delictiva sucede cuando una computadora de un usuario es infectada por un programa llamado “troyano o virus” que desvía al usuario a la versión falsa de un sitio web auténtico y de confianza, con el objetivo de robar datos de la víctima para cometer un fraude.

Diría que esta modalidad es una de las trampas más fáciles en las que puede caer una persona involuntariamente. Por ejemplo: Estén pendientes que el URL de la página web cuente con un https y no un http y que el nombre de su dominio no tenga ni guión ni carácter, tal como se muestra en este ejemplo: (https://www.prevenciondefraude.com).

Así como la ciberdelincuencia se ha reinventado, también existen nuevos y muy eficaces métodos para protegernos.

¿Cómo protegerse?

Este puñado de ejemplos demuestra que hasta los más cautos y preparados pueden caer en las redes de un cibercriminal. “Es una ciberguerra”, expresa Fortoul. “El delincuente siempre está buscando diferentes maneras de intentar que caigamos”, añade.

Sin embargo, existen formas que pueden ser utilizadas como herramientas de detección y prevención de estafas y fraudes. Según Castillo, usualmente los mensajes fraudulentos tienen varias características que deben ser validadas para no ser víctimas de los mismos.  

Por lo tanto, para Fortoul y Castillo es importante tener presente las siguientes recomendaciones:

  • Revisar si el correo electrónico contiene un mensaje con errores ortográficos o gramaticales.
  • Verificar si el remitente (sender) es realmente de la empresa o persona que dice mandar el correo electrónico antes de abrir alguno de sus anexos. Esto se puede comprobar pasando el mouse por el sender para corroborar si apunta o no a un servidor malicioso.
  • No compartir información confidencial o delicada por correo electrónico o por teléfono a personas o a empresas que no sean de su absoluta confianza.
  • No descargar programas, archivos adjuntos o hacer clic en enlaces asociados a correos electrónicos sin antes verificar que sean legítimos.
  • Estar alerta sobre toda solicitud de información confidencial o dinero.
  • Tener dos correos electrónicos: uno para compras y otro para movimientos más privados.
  • Contar con un antivirus en sus computadoras y dispositivos móviles.
  • Mantener instaladas paredes cortafuegos (firewalls).
  • Ser más cautelosos con las redes sociales y no brindar demasiada información personal en ellas. Este es un punto en el que Fortoul hace un gran énfasis, ya que hoy día son muchas las personas que tienden a divulgar en redes lo que hacen a diario, los lugares que frecuentan, las personas con las que se reúnen, sus gustos y actividades favoritas, poniéndolos en una posición de vulnerabilidad ante el ciberdelincuente.
  • Cuidar sus claves. No deben utilizarse las mismas para todas las actividades que realizan en internet.
  • Utilizar claves robustas. Es decir, que no estén conformadas por palabras triviales.
  • Realizar un doble factor de autenticación en el WhatsApp. Increíblemente, son muchos los WhatsApps que son hackeados por no estar debidamente protegidos.

Evita guardar información confidencial en dispositivos poco seguros o de fácil acceso.

Corresponsabilidad

Usualmente, se tiende a pensar que este tipo de situaciones adversas les sucede a otros. Pero, pese a que las empresas e instituciones a las que están vinculados los escudan dentro de sus anillos de defensa e intentan salvaguardar constantemente sus intereses bajo una gran sombrilla, la realidad es que cualquiera puede ser víctima de una estafa o fraude en cualquier momento, si no ponen de su parte.

Por esto, aquí la corresponsabilidad juega un papel preponderante. ¡Conviertan en una prioridad el mantenerse alertas y velar por sus datos personales! Recuerden que el ingeniero social intentará estar siempre un paso más adelante que ustedes.

Y, para concluir, un mensaje de Fortoul para tenerlo presente continuamente: “Las entidades bancarias nunca lo contactarán por teléfono o correo electrónico para solicitarte sus credenciales digitales o información confidencial”. Nunca. Así que, ¡no se dejen engañar!

 

Otras formas de evitar ser engañado por un ingeniero social:

  • Compras por redes sociales: verifiquen el historial de la cuenta y nunca depositen dinero a un extraño sin antes recibir la mercancía solicitada o tener sus referencias.

  • Ayuda a una persona cercana: si les llega un mensaje de carácter “urgente” por parte de algún familiar, amigo o conocido a través de cualquier plataforma tecnológica, hablen primero con él para cerciorarse de que realmente sea esa la persona que les está pidiendo ayuda.
  • Cuenta bancaria: sus cuentas bancarias son para su uso exclusivo. Nunca las presten.

Fotos: Getty Images

Artículo anterior

¡Reciclar hoy nos conviene a todos!

Próximo artículo

Netiqueta… ¿qué hacer y qué no hacer en lo digital?

Vanesa Restrepo de Rinkel

Esta comunicadora social radicada en Panamá, con maestría en comunicación, medios y relaciones públicas de la Universidad de Leicester, Inglaterra, cuenta con casi 25 años de experiencia en el medio escrito, trabajando en el Daily Express de Londres antes de dedicarse como periodista freelance para diversas revistas en Colombia y panameñas como En Exclusiva, con la que lleva colaborando 10 años.