La ingeniería social, reconocer, considerar y defenderse de ciberdelincuentes

Foto: INCIBE

Los expertos en ciberseguridad siempre han coincidido en que el eslabón más débil de cualquier cadena de seguridad es el usuario y, por eso, la ingeniería social busca explotar este punto débil.

Los atacantes, precisamente, apelan a la vanidad, la avaricia, la curiosidad, el altruismo o el respeto o temor a la autoridad de las personas para conseguir que revelen cierta información o que permitan el acceso a un sistema informático.

En la OSI (Oficina de Seguridad del Internauta), ente adscrito al del Instituto Nacional de Ciberseguridad (INCIBE), han determinado que los ataques de ingeniería social son cada vez más frecuentes y sofisticados.

Y es que ya que no se trata solo de caer en una trampa, sino de la personalización que los ciberdelincuentes hacen de esta táctica. De hecho, se ha informado que el 93 % de las brechas de seguridad comienzan a partir de un correo electrónico.

Esto se pondría de manifiesto cuando se entiende que la ingeniería social se basa en un principio muy básico: “el usuario es el eslabón más débil”.

“A partir de esta idea busca explotarlo apelando a sus motivaciones más personales, con el objetivo de conseguir que el usuario revele cierta información o permita tomar el control de su equipo”.

Es por esto que la mejor defensa es no dejarse engañar y conocer cómo funcionan este tipo de fraudes y engaños para detectarlos y no caer en la trampa.

En principio, habría que entender que la ingeniería social es una técnica usada por los ciberdelincuentes y que consiste en engañar o manipular a las personas para conseguir su información personal, como contraseñas y datos bancarios, o para obtener el acceso a sus equipos e instalar software malicioso o malware de forma inadvertida.

“Los ciberdelincuentes utilizan la ingeniería social porque es más fácil o ‘barato’ dedicar recursos a engañar a alguien para que revele su contraseña de acceso a un servicio, que vulnerar sus complejos sistemas de seguridad”.

La vulnerabilidad, en ese caso es la persona, pero puede evitarlo. Es por esto que debe reconocer que, de manera sistemática, los ciberdelincuentes que emplean la ingeniería social tratarán de ofrecerle algo que capte su interés sin que pueda sospechar que ellos están detrás.

Inclusive, podrían incitar a abrir ficheros adjuntos, se harán pasar por otras personas que resulten de confianza para obtener acceso a información privilegiada o tratarán de hacer creer que el equipo está infectado con malware para ofrecer una solución que supuestamente lo desinfecte.

Reconociendo la ingeniería social

Un aspecto importante para reconocer la ingeniería social es que cualquier consejo o ayuda no solicitada debe tratarse con precaución, especialmente si consiste en hacer clic en un enlace o descargar algún programa bajo cualquier excusa. Probablemente, la persona se encuentre ante un intento de fraude.

Cualquier petición de las contraseñas o información financiera también resulta ser un truco, ya que las instituciones legítimas nunca pedirían una contraseña a través de correo electrónico, mensajería instantánea, redes sociales, teléfono u otros medios de comunicación personal.

Entonces, se debe saber que existen defensas efectivas en contra de la ingeniería social, aunque los mecanismos están enfocados a una cuestión de concienciación sobre aspectos de ciberseguridad y no tanto a una cuestión técnica.

“Debes entender que una parte muy importante de la seguridad recae en el propio usuario. Tanto en las comunicaciones electrónicas como en la vida real siempre se debe tener presente que hay cosas de las que debemos desconfiar o tratar con especial precaución”.

Algunas recomendaciones pueden disminuir de manera importante la posibilidad de ser víctima de la ingeniería social.

Si se recibe algún mensaje de remitente desconocido debe tratarse con especial cuidado, ya que no solamente puede ser un correo con información falsa, sino que puede contener archivos maliciosos adjuntos o enlaces que no son lo que parecen ser.

Hay que revisar los enlaces a los que redirigen los anuncios antes de hacer clic sobre estos. Además, se debe desconfiar de los chantajes o extorsiones que se pueden recibir telefónicamente o en el correo.

“Normalmente buscan captar tu atención con mensajes alarmantes y piden un rescate sobre una supuesta información tuya que realmente no tienen. Suelen venir de remitentes desconocidos”.

También se tiene que desconfiar si, a través de una llamada, alguien dice ser el técnico o trabajador de un servicio y bajo cualquier excusa pida que se descargue una aplicación determinada, confirmen datos de las tarjetas, realice algún pago, entre otras peticiones.

“No atiendas a sus peticiones y confirma con terceras fuentes de confianza que realmente es quien dice ser”.

Como una medida de protección general, la persona siempre debe tener presente que las entidades bancarias nunca solicitan información confidencial por correo electrónico, SMS o cualquier otro canal.

Por tanto, hay que estar muy pendiente de los mensajes que parecen ser del banco, pero que realmente no lo son.

Al navegar por Internet y acceder a las webs favoritas también se tienen que verificar sus características, por ejemplo, asegurarse de que sea una página segura (que comience con https) y que la dirección del portal pertenezca a la URL de la entidad. 

Desde la OSI se ha enfatizado que una característica del phishing es que las páginas auténticas pueden suplantarse con una simple similitud de las palabras, por ejemplo: la página real puede ser www.bancox.com y la página falsa www.banncox.com (se ha añadido una «n» adicional).

El simple hecho de que la URL falsa y la legítima se parezcan puede provocar que muchos usuarios desprevenidos caigan en este tipo de engaños.

La prevención es la clave

No es necesario que el usuario sea un experto en ciberseguridad, según la OSI. Lo que sí debe tener presente, más allá de las consideraciones básicas, cómo o en dónde están las amenazas ya que muchas veces no serán virus, programas o equipos infectados, sino simplemente técnicas de engaño.

Y es que cada vez es más complicado reconocer los ataques de ingeniería social y, por ello, el primer método de prevención radica en estar informado.