El término "ingeniería social" hace referencia
al arte de manipular personas para eludir los sistemas de seguridad. Esta
técnica consiste en obtener información de los usuarios por teléfono, correo
electrónico, correo tradicional o contacto directo. Los atacantes de la
ingeniería social usan la fuerza persuasiva y se aprovechan de la inocencia del
usuario haciéndose pasar por un compañero de trabajo, un técnico, un
administrador, asesores de ventas de una empresa, etc.
Nuestras debilidades naturales como humamos pueden ser
explotadas en muchas ocasiones mucho más fácilmente que las de un software o
hardware. La ingeniería social hace esto, explota nuestras debilidades psicológicas
para extraer información.
Existen muchas técnicas de este tipo que son usadas constantemente
para cometer todo tipo de fraudes, a las que todos nos vemos expuestos
simplemente por nuestra inescapable psicología humana.
Quienes utilizan ingeniería social con propósitos maliciosos,
tienden a decir que es más fácil "hackear" a un humano que a una
computadora, simplemente porque la "gente es estúpida". Realmente no
se trata de que una persona sea estúpida, se trata de gente no informada, o de
que el perpetrador logra encontrar en la victima una debilidad para ganarse su
confianza y luego explotarla.
Aplicar ingeniería social, es hacer que una persona confíe en ti con
el propósito de extraer información de ella que luego usarás para tu propio
beneficio. Es el arte de la manipulación. Habrán casos en los que para obtener
las contraseñas o números de tarjeta de crédito de alguien solo baste con
pedírselos como si fuese algo normal, y esa persona nunca se cuestionará las intenciones
o la legitimidad de las palabras de quien solicita la información. Mientras
que, alguien que esté al menos un poco familiarizado con este tipo de prácticas
tal vez dude de el por qué debe dar esta información e intente verificar quien
es en realidad el solicitante.
Nuestras debilidades naturales como humamos pueden ser
explotadas en muchas ocasiones mucho más fácilmente que las de una red, un
software o un dispositivo. Bajo el uso de un escenario completamente inventado
(pretexto) se puede persuadir a una persona de entregar información:
-Buenos días, le estamos llamando del Banco X para
informarle que se le ha hubo un problema con su tarjeta de crédito en su ultima compra, ¿podría ser tan amable de confirmarnos sus datos para intentar
realizar el pago nuevamente?
La ingeniería social puede variar desde algo tan simple como el
ejemplo anterior, hasta las estafas más elaboradas en las que una persona puede
pretender ser alguien que no es, ganarse tu confianza por incluso meses, o hasta
formar parte de tu circulo social para luego pedirte por alguna razón de la que
no vas a dudar, información personal. El objetivo siempre es tener acceso a
algo.
El phishing
El phishing por ejemplo, es una técnica de ingeniería social que
se puede aplicar por correo electrónico, o hasta en redes sociales. Todos hemos
recibido alguna vez un correo electrónico procedente de "nuestro
banco" solicitando contraseñas, nombres de usuarios, o números de cuenta y
tarjetas de crédito. Los bancos nunca solicitan información
por correo y nunca debemos enviarla por este medio. Muchos emails
de este tipo incluyen enlaces a sitios fraudulentos, o engañan al receptor bajo
el pretexto de ser una empresa legítima que intenta verificar nuestros datos.
Este tipo de ataques tienen éxito porque los humanos simplemente
somos susceptibles a la manipulación y podemos ser persuadidos para hacer
muchas cosas si se presionan los botones correctos.
Cómo protegerme
Aunque podría decirse que solo con tener sentido común basta,
esto solo es cierto para ataques simples y fáciles de detectar. Ser siempre
desconfiado sea tal vez la única protección, pero no se puede estar tan alerta
todo el tiempo.
Algunas medidas que podemos tomar son:
·
Verificar siempre la identidad de alguien que nos solicite
información personal. Por ejemplo, si recibimos una llamada telefónica de un
operador que nos solicita datos personales, podemos pedirle todos sus datos de
empleado, pero la mejor manera de confirmar si es quien dice ser, es ofrecerle
algunos datos ligeramente equivocados para contra-verificar que realmente es un
operador y tiene en sus manos, la información correcta que dimos a la empresa.
·
No debemos nunca abrir archivos adjuntos ni hacer clic en
enlaces de correos con remitentes desconocidos o sospechosos.
·
Nunca compartir números de cuenta, tarjetas de crédito,
contraseñas, o nombres de usuario con nadie vía correo electrónico.
·
No reveles tus contraseñas a nadie, ni tampoco las mantengas a
la vista en una nota en el escritorio ni nada parecido.
·
Cuando trabajamos con información sensible, procuremos estar
pendientes de si alguien está observándonos. Ya sea la pantalla de la computadora
en el trabajo, o hasta en el Smartphone en la calle. Esto es básicamente el
mismo consejo que te da el banco al usar un cajero automático, no permitir que
nadie se acerque lo suficiente como para que pueda ver cuando ingresas tu NIP.
·
No creer cualquier cosa que te diga un extraño por muy
"bueno" que parezca.
·
Desconfía de notas compartidas en redes sociales de sitios “extraños”.
Algunas personas comparten enlaces que ofrecen promociones en las compras de artículos
por internet, debes de evitar estas páginas, puesto que no se confía en la página.
