Por: Jorge Aquel
¿Que es la ingeniería social?
Según la compañía de Software antivirus Kaspersky, consiste en la forma, manera o técnica por la cual se aprovecha de los errores humanos para obtener información privada o confidencial, accesos, o cosas de valor. Esto se puede llevar a cabo de forma remota o presencial con personas a las cuales toman desprevenidos para manipularlos y conseguir así, lo que se busca.
Debido a que los programas que usamos y la web misma es tan cambiante día con día, causa un poco de confusión a algunos usuarios que por distintos motivos: la edad, sus conocimientos tecnológicos, etc., no siguen el ritmo de los cambios y esto es aprovechado por delincuentes de todos los niveles. Si a lo anterior le sumamos que una gran mayoría de las personas, no considera importante proteger su información personal, esto hace que sea aun más amplias las oportunidades de aplicar la ingeniería social.
Ejemplos de Ingeniería social
A continuación, listaremos algunos de los tipos de ingeniería social más populares:
1.- Ataques de Phishing: Estos consisten en que el atacante enviará correos masivos haciéndose pasar por alguna compañía, banco o servicio que la mayoría de las personas usan. También pueden hacerse pasar por alguna tienda departamental o empresa o cobranzas alegando algún pago pendiente. Incluso me ha tocado recibir correos falsos del Fisco indicando que hay un problema de impuestos.
Estos correos electrónicos o mensajes en redes sociales son cuidadosamente elaborados para simular que vienen de las empresas o negocios por los cuales se están haciendo pasar. Traen logos actuales, la redacción es muy similar y normalmente buscan que le des clic a algún enlace que te llevará hacia algún sitio web falso o bajo su control con el cual continuará la estafa.
Otra manera de hacerse de tus datos y acceso a tu equipo de cómputo, es que le des clic a algún archivo adjunto que venga ahí en el cuerpo del correo, ya sea una imagen, un documento .pdf o de Word, o algún archivo ejecutable, etc.
Es importante mencionar que, este tipo de engaños no solo está limitado al correo electrónico, también existen sus variantes como vía telefónica, por SMS, en redes sociales como Facebook o Twitter, por WhatsApp, sitios web legítimos infectados, Access Point infectados o apps de celular creadas para ello.
2.-Baiting: En el baiting, que es muy parecido al phishing, se busca es que el usuario muerda una carnada por medio de la cual se ejecute algún programa que nos dé acceso a su equipo. Algunos ejemplos de esto, son los programas gratuitos como activadores de Windows o de office, los cuales, en su interior aparte de activar el software, contienen troyanos que dan acceso remoto al creador, otro ejemplo sería con dispositivos USB abandonadas llenas de música en oficinas o lugares objetivos, las cuales al introducirlas a las computadoras de la víctima y reproducirlas, se accede remotamente o envía información al atacante o encripta el equipo.
3-Pretexting: Este tipo de ataque, usa una historia para llamar la atención de la víctima, y una vez captada se le extrae la información necesaria, dinero o bienes engañando así a quien cae en este engaño. Ejemplos conocidos de este tipo de engaño hay varios, como los correos electrónicos de Nigeria o Estados Unidos en donde te indican que has recibido una herencia de un pariente lejano y que necesitan que les deposites una cantidad para que terminen un trámite y te hagan llegar el dinero de la herencia. Otra estafa es vía telefónica, en la cual se hacen pasar por call centers de un banco en el cual puedes o no tener cuenta, y te dicen que hay un problema con un pago no reconocido, y es necesario les des los 16 números de tu tarjeta y los tres de atrás para ver que se revierta el cargo hecho a tu cuenta (según) y ya con esa información hacen compras en línea.
Otro ejemplo es que te llaman diciendo que tienen secuestrado a alguien de tu familia y que les debes de depositar una cantidad de dinero o la van a matar. Aquí el truco es que le hablan a tu familiar muchas veces y lo insultan cada vez que contesta hasta que el familiar decide colgar, para no ser molestado ante las llamadas insistentes. Una vez logrado esto, se comunican con la persona a extorsionar, quién al no poderse comunicar con la primera, en verdad cree que ha sido secuestrado.
Estos datos para comenzar el engaño ya han sido obtenidos con anterioridad con algún estado de cuenta, o con las placas del auto, o algún correo electrónico interceptado o via redes sociales. Imaginemos un casting para modelos, en Facebook, los victimas van y dejan sus fotos, datos personales, teléfonos, teléfonos de sus familiares, domicilios, etc. Todo lo necesario para hacer la estafa.
4.-Spamming de contactos o Mail spoofing: ¿Alguna vez haz recibido una cadena de WhatsApp o en Facebook en donde se te pide reenviar ese mensaje a varios contactos tuyos y se salvará un niño con cáncer cada vez que lo compartas, o que Apple está regalando 1000 Iphones a quienes lo reenvíen para compartir, o una chica o chico muy guapo te ha solicitado que lo agregues como amigo en Facebook y su perfil es nuevo y tiene muy pocas fotos muy sexis?
Si has participado en alguna de las anteriores, has caído en esta categoría de engaño, con la cual los atacantes, consiguen muchas direcciones de correo legítimas, o números de teléfono y sus contactos a quienes les empezarán a llegar correos de phishing pero con tu nombre o correo. La victima al ver que lo comparte alguien que realmente conoce, le dará el beneficio de la duda y caerá muy probablemente en la trampa.
Un teléfono perdido creo que podría entrar aquí el que se lo encuentre, tiene acceso a fotos, correos, mensajes, números telefónicos y otra información sensible que puede ser usada en contra suya, de sus amigos o familia. Siempre ponga clave o huella para bloquearlo.
5.-Lavado de dinero: “Gane dinero contestando encuestas” dice algún anuncio en redes sociales por poner un ejemplo. Aplicas y llenas una forma con tus datos y tu número de cuenta bancaria. Empiezas a hacerlo, y empiezas a recibir dinero puntual por ello. Te enganchas y luego terminas haciendo trasferencias de montos mayores a cuentas que se te indican por una comisión del 10%. ¿Suena bien verdad? El sueño se acaba cuando la policía o el Fisco se aparece en tu puerta.
Nuevamente has sido víctima de un engaño con consecuencias legales, y no puedes defenderte como quisieras, ya que tienen todos tus datos y saben cómo localizarte.
Estas cinco categorías, han sido sólo algunos ejemplos de las más populares aplicaciones de la ingeniería social en nuestros días.
Como protegerse
Actualice su sistema operativo: El tener las ultimas actualizaciones de su sistema operativo, es una de las practicas más constantes que debemos de tener con nuestros equipos de cómputo, ya que parchan vulnerabilidades que pueden ser aprovechadas por atacantes para lograr accesos no autorizados a nuestros equipos.
Tenga un antivirus actualizado: Los antivirus usan patrones en los archivos para identificar a los virus o gusanos según van siendo identificados. No usar antivirus es como dejar la puerta abierta de su casa. Compre uno económico y evite usar parches para programas como office o Windows.
Sea desconfiado de quien le habla por teléfono: Los bancos tienen la mayoría de nuestra información y la mejor manera en caso de duda con la identidad del supuesto ejecutivo es decirle que usted mismo irá a la sucursal del banco o tienda departamental para verlo en persona.
Cuando le hablen de un número que no conoce y le pregunten que quien habla siempre responda en este orden:
1.- ¿Con quién quiere hablar? No digo quien soy, así que preguntaran por el dueño, el encargado, etc.
2.-¿De parte de quién? Nuevamente no doy información cuando te dicen soy tu primo, tío, etc. Pregunto: ¿Que primo eres? ¿Cómo se llama tu mamá o papá?
3.-¿Referente a qué? ¿Cuál es el asunto por el cual se está comunicando?
Si extravió su teléfono: Avise a todos sus contactos de este hecho, y que si alguien le llama de ese numero podría ser una estafa. Reporte de inmediato a su compañía de celular. Por ello es importante registrarse en el registro nacional de celulares, para bloquear el chip anterior y recuperar tu número.
Jamás registre a su mamá, papá primo Y, tía X, etc. Use los nombres de ellos en vez del parentesco para que quien encuentre el número, no sepa quien sí es su familiar y quien no. También puede utilizar apodos.
Tenga cuidado con los empleos en internet: Sobre todo los que ofrecen empleos muy deseados como modelos o encuestas. Siempre investigue a la empresa donde va a dejar sus papeles, si realmente existe o no. Vaya acompañado y avise de ello cuando sean entrevistas de trabajo. Use el sentido común. Ninguna empresa te va a pedir dinero para algún trámite.
Siga las políticas de seguridad de su empresa: Las empresas, dependiendo de su tamaño pueden tener un área de TI que le puede orientar con los cuidados que debe tener. Respete las políticas de su trabajo para el uso de las computadoras. El no hacerlo puede impactar negativamente en su trabajo o en la empresa. Los casos de robos de información mediante ramsomwere que codifican todo el parque de cómputo de una corporación o Pyme, han sido por no respetarlas.
Espero que este artículo les sea de ayuda para que se protejan mejor en casa y en el trabajo. Cualquier comentario o sugerencia es bienvenido y les agradezco de antemano por su amable lectura.
Muy interesante y con una narrativa amena.
De ser posible, liste algunas de sus fuentes.