El elemento más vulnerable de los sistemas digitales es el ser humano. Pese a que ningún sistema digital es impenetrable, por lo general es más fácil ‘hackear personas’ que máquinas. A piratear gente se lo conoce como ingeniería social, y supone un problema enorme para quien la sufre. ¿En qué consiste?
Tanto la Oficina de Seguridad del Internauta (OSI) como el Instituto Nacional de Ciberseguridad (INCIBE) alertan de la metodología de estas técnicas y sus graves consecuencias para los usuarios. ¿Es posible prevenir la ingeniería social?
¿Qué es la ingeniería social?La ingeniería social es una práctica ilegal usada por ciberdelincuentes para robar datos. Para ello, estos ladrones digitales se camuflan como personas de confianza de la víctima y así burlar sus defensas.Una vez manipulada a la víctima, la usan para obtener algo de ella. Pueden ser datos empresariales, credenciales bancarias o información relacionada con su identidad, entre otros. Con esta información robada se pueden cometer otros delitos como extorsión o robo.
Por lo general, la ingeniería social implica manipulación psicológica o sesgos cognitivos. Es decir, es un conjunto de técnicas que atacan las vulnerabilidades humanas y explotan la confianza que la víctima deposita en el ciberdelincuente. ¿Cómo funciona? A continuación se muestran dos ejemplos:
Ejemplo de Ingeniería social por WhatsApp
El timo. A Tamara le llega un SMS con un código de seis dígitos que no ha solicitado. Instantes después, su amigo Manuel le envía un WhatsApp. “Ay, me he equivocado y te he mandado un mensaje con un código, ¿me lo pasas?”. Como la persona es conocida, Tamara le envía el código. Al hacerlo, le ha dado las claves de su WhatsApp, y todo su contenido ha sido vulnerado.
¿Cómo ha pasado? Unas horas antes, unos ciberdelincuentes habían accedido al WhatsApp de Manuel. Estas mismas personas se han bajado WhatsApp y le han dicho al programa que su número de teléfono es el de Tamara. Al hacerlo, le han enviado a ella el código de verificación. Lo único que han tenido que hacer después es fingir ser Manuel. Ahora Tamara es un vector de propagación.
¿Se podría haber evitado? Sí. Nunca se deben compartir códigos de verificación con nadie. Si un conocido dice habernos enviado por error un código, y dudamos de si es cierto, siempre podemos realizar una llamada y escuchar su voz. Ante la duda, precaución total.
Ingeniería social en el trabajo
El timo. Un día, la cuenta contabilidad@laempresa.es envía un correo a uno de sus trabajadores. “Buenos días, Francisco, soy Raquel, de contabilidad. ¿Me haces el favor de reenviarme las últimas facturas que te hemos mandado y tu DNI escaneado? Creo que nos equivocamos y te debemos dinero”. Esperanzado, Francisco envía sus facturas y DNI. Acaba de ser víctima de un robo de datos.
¿Cómo ha pasado? La empresa de Francisco se llama ‘laempresa’, con L inicial, pero los ciberdelincuentes han registrado el dominio ‘Iaempresa’ con I mayúscula inicial. Ahora tienen buena parte de los datos personales y fiscales de Francisco, así como una copia de su DNI que usarán para cometer otros delitos.
¿Se podría haber evitado? Sí. Incluso si no es fácil diferenciar entre una ele minúscula y una i mayúscula (l, I), todas aquellas solicitudes de información vulnerable requieren de una doble verificación. En este caso, una llamada a la oficina de contabilidad habría ayudado.
¿Por qué la ingeniería social supone un grave problema?
La ingeniería social supone un grave problema de seguridad porque expone datos personales o empresariales. En el primer ejemplo, el de WhatsApp, Tamara pierde su acceso a WhatsApp, pero también da a los estafadores un nuevo rol que suplantar: la víctima Tamara. Además, otorga acceso a todo tipo de datos personales de sus contactos.
A nivel empresarial, la ingeniería social supone todo un reto. Un trabajador poco informado podría dar acceso a la organización a un estafador y, con ello, atacar a otros usuarios de la empresa o robar información confidencial, secuestrar ordenadores para exigir pagos o simplemente vandalizar la infraestructura.
¿Cómo se puede evitar la ingeniería social?
Todos los ataques de ingeniería social tienen un elemento común: se diseñan para generar un clima de confianza o desesperación tal que inducen a la víctima a cometer errores. Ya sea porque el ciberdelincuente se gana nuestra confianza o porque pide ayuda de forma angustiada, ataca a nuestra forma de razonar. Su objetivo es que la víctima no actúe de manera analítica.
Una forma de prevenir este tipo de ataques es detectar cuándo alguien nos está solicitando información vulnerable. Si es el caso, lo más probable es que sea un ataque vestido de familiar, amigo o compañero del trabajo.
Además, la urgencia suele ser una característica común (“Por favor, envíame el código en cuanto puedas, puedo peder mi acceso al WhatsApp”) seguida de cierto sentido de culpabilidad si no ayudamos (“¿De verdad no vas a ayudarme? Me dicen que si no meto las claves me borran todo”).
Ante estos eventos, lo mejor es recelar y poner en duda toda comunicación, así como ser consciente del riesgo que supone enviar la información solicitada. En caso de duda, conviene dejar de hablar con el ciberdelincuente (aunque no sepamos si lo es o no) y buscar ayuda en personas que sepan más que nosotros.