Ingeniería social: protección y prevención

¿Qué es la ingeniería social?

Cuando hablamos de ciberseguridad, la mayoría pensamos en defendernos de hackers que utilizan debilidades tecnológicas para atacar las redes de datos. Sin embargo, hay otra manera de colarse en las empresas y redes: se trata de aprovecharse de las debilidades humanas. Esta táctica se conoce con el nombre de «ingeniería social» y consiste en tenderle una trampa a alguien para que divulgue información o conceda acceso a redes de datos.

Por ejemplo, un intruso podría hacerse pasar por miembro del departamento de informática y solicitar a los usuarios que le faciliten datos como sus nombres de usuario y contraseñas. Y sorprende la cantidad de personas que no se lo piensan dos veces a la hora de poner esa información en riesgo, sobre todo si parece que quien la solicita es alguien legítimo.

Dicho en pocas palabras, la ingeniería social es el uso del engaño para manipular a personas de manera que permitan acceder a información y datos o los divulguen.

Tipos de ataques de ingeniería social

Existen varios tipos de ataques de ingeniería social. Por este motivo, es importante entender bien la definición de ingeniería social, además de cómo funciona. Una vez comprendido el modus operandi básico, resulta mucho más fácil detectar ataques de ingeniería social.

Baiting o «anzuelo»

El baiting consiste en tender una trampa, como puede ser dejar al alcance una memoria USB cargada con malware. Si la recoge alguien que siente curiosidad por saber lo que contiene y la conecta a su unidad USB, su sistema quedará infectado. De hecho, hay una memoria USB que es capaz de destruir ordenadores: se carga con la energía del dispositivo USB y luego la libera con una subida de potencia tan fuerte que daña el dispositivo al cual está conectada. (y solo cuesta 54 dólares).

Pretextos

Este ataque utiliza un pretexto para captar la atención y hacer que la víctima pique el anzuelo y proporcione información. Por ejemplo, una encuesta en Internet puede antojarse inofensiva a primera vista y luego solicitar los datos bancarios. O puede presentarse alguien con un portapapeles y anunciarte que están realizando una auditoría de los sistemas internos, pero tal vez esa persona no sea quien dice ser y te sustraiga información valiosa.

Phishing

Los ataques de phishing consisten en enviar un mensaje de correo electrónico o de texto que finge ser de una fuente fiable y en el cual se solicita información. Una variante muy conocida de este tipo de ataques son los mensajes de correo electrónico que fingen proceder de un banco y solicitan a sus clientes que «confirmen» su información de seguridad, cuando, en realidad, lo que hacen es redirigirlos a una página web fraudulenta donde se registran sus credenciales de inicio de sesión. El «spear phising» pone la diana en una única persona de una empresa, a quien supuestamente un ejecutivo de rango superior le envía un mensaje de correo electrónico en el que le solicita información confidencial.

Vishing y smishing

Estos tipos de ataque de ingeniería social son variantes del phishing; el «vishing» o «voice fishing» consiste, simplemente, en llamar por teléfono a alguien y solicitarle datos. El delincuente puede hacerse pasar por un colega del trabajo; por ejemplo, puede fingir ser del departamento de informática y solicitar la información de inicio de sesión. Por su parte, el smishing utiliza mensajes SMS para intentar obtener esta información.

Quid pro quo

Dicen que «un intercambio justo no es un robo», pero, en este caso, sí que lo es. Muchos ataques de ingeniería social convencen a las víctimas de que obtendrán algo a cambio de los datos o el acceso que proporcionan. El scareware funciona de esta manera y promete a los usuarios de ordenadores una actualización para lidiar con un problema de seguridad urgente cuando, en realidad, es el propio scareware lo que representa esa amenaza maliciosa a la seguridad.

Spam a contactos y hackeo del correo electrónico

Este tipo de ataque comporta hackear las cuentas de correo electrónico o redes sociales de una persona para acceder a sus contactos. A continuación, se les comunica a los contactos que la persona ha sufrido un robo o ha perdido todas sus tarjetas de crédito y se les solicita que transfieran dinero a una cuenta. Otra táctica es que un supuesto «amigo» te envíe un «vídeo que no puedes perderte» que incluya malware o un troyano keylogger.

Diferencia entre farming y hunting

Por último, cabe tener presente que algunos ataques de ingeniería social son mucho más sofisticados. La mayoría de los planteamientos sencillos que hemos descrito son una forma de «hunting». Básicamente, se trata de entrar, hacerse con la información y largarse.

No obstante, algunos tipos de ataques de ingeniería social implican entablar una relación con la persona objetivo para extraerle información en el transcurso de un período más dilatado. Esta táctica se conoce como «farming» y es más arriesgada para el atacante, porque tiene más probabilidades de ser descubierto. Sin embargo, si la infiltración es fructífera, puede sustraer mucha más información.

Cómo evitar ataques de ingeniería social

Los ataques de ingeniería social son especialmente difíciles de contrarrestar porque están específicamente diseñados para aprovechar rasgos humanos como la curiosidad, el respeto por la autoridad y el deseo de ayudar a un amigo. Existen, no obstante, una serie de consejos que pueden ayudarte a detectar estos ataques de ingeniería social...

Verifica la fuente

Plantéate un momento de dónde procede la comunicación, en lugar de confiar en ella a ciegas. Una memoria USB aparece de la nada en tu mesa de trabajo, ¿y no sabes qué es? ¿Recibes porque sí una llamada de teléfono diciéndote que has heredado cinco millones de dólares? ¿El director ejecutivo de tu empresa te envía un correo electrónico solicitándote un montón de información de empleados concretos? Todos estos ejemplos suenan sospechosos y deberían tratarse como tales.

Verificar la fuente no es tan difícil. Por ejemplo, si se trata de un mensaje de correo electrónico, mira la cabecera y contrástala con mensajes válidos del mismo remitente. Comprueba adónde conducen los enlaces: los hipervínculos fraudulentos son fáciles de detectar con solo deslizar el cursor por encima (pero ,sobre todo, no hagas clic en ellos). Comprueba la ortografía: los bancos cuentan con equipos de personas cualificadas dedicadas a elaborar los comunicados que se envían a los clientes, de manera que un mensaje de correo electrónico con faltas de ortografía clamorosas probablemente sea fraudulento.

Si tienes dudas, visita el sitio web oficial y ponte en contacto con un representante autorizado, que estará en disposición de confirmarte si el correo electrónico/mensaje es oficial o fraudulento.

¿Qué saben?

¿A la fuente le faltan datos que pensabas que ya tenía, como tu nombre completo, etc.? Recuerda: si te llaman del banco, deberían tener todos esos datos delante y siempre te formularán preguntas de seguridad antes de permitirte realizar cambios en tu cuenta. De no ser así, la posibilidad de que se trate de un correo electrónico/llamada/mensaje fraudulento es mucho más alta y más vale que receles.

Rompe el bucle

La ingeniería social suele depender de una cierta sensación de urgencia. Los atacantes esperan que sus objetivos no reflexionen demasiado sobre lo que está sucediendo. Por eso, el mero hecho de tomarte un momento para pensar puede desalentar estos ataques y demostrar exactamente lo que son: timos.

Telefonea al número oficial o visita la URL oficial, en lugar de facilitar tus datos por teléfono o hacer clic en un enlace. Utiliza un método de comunicación distinto para comprobar la credibilidad de la fuente. Por ejemplo, si recibes un correo electrónico de un amigo solicitándote que le envíes dinero por transferencia, mándale un mensaje al móvil o llámalo para comprobar que realmente se trata de él.

Solicita identificación

Uno de los ataques de ingeniería social más sencillos consiste en saltarse los controles de seguridad de entrada a un edificio portando una caja grande o un fajo de carpetas bajo el brazo. Al fin y al cabo, siempre habrá alguna persona amable que nos abrirá la puerta para facilitarnos el paso. No caigas en la trampa. Pide siempre la identificación.

Y hazlo en todos los supuestos. Verifica el nombre y el número de teléfono de quienquiera que te llame o te encueste. «¿Para quién trabaja?» debería ser una respuesta básica a cualquier petición de información. Y luego comprueba la guía de teléfono o el organigrama de la empresa antes de proporcionar información privada o datos personales. Si no conoces a la persona que te solicita la información y no te sientes cómodo proporcionándosela, dile que necesitas hacer unas comprobaciones y que ya te pondrás tú en contacto.

Usa un buen filtro antispam

Si tu programa de correo electrónico no filtra bien el spam ni marca los mensajes como sospechosos, tal vez te convenga cambiar la configuración. Los filtros de spam óptimos utilizan información de distinta índole para determinar qué mensajes pueden ser correo no deseado. Pueden detectar archivos o enlaces sospechosos, tener una lista negra de direcciones IP o remitentes sospechosos o incluso analizar el contenido de los mensajes para determinar si es probable que sean falsos.

¿Es realista?

Algunos ataques de ingeniería social funcionan intentando engatusarte para que no actúes de manera analítica ni te tomes el tiempo para evaluar si se trata de una situación realista: esta forma de proceder puede ayudarte a detectar muchos de estos fraudes. Por ejemplo:

si tu amigo realmente estuviera atrapado sin salida en China, ¿te enviaría un correo electrónico o te llamaría y te mandaría un mensaje al móvil también?
¿Es probable que un príncipe nigeriano te haya dejado en herencia un millón de dólares?
¿Te telefonearía el banco solicitándote los datos de tu cuenta? De hecho, muchos bancos notifican cuándo envían correos electrónicos a sus clientes o los telefonean. Así que, si no estás seguro, compruébalo.

No tengas prisa

Recela sobre todo si en la conversación se respira una sensación de apremio. Los malhechores suelen recurrir a esta táctica para impedir que sus víctimas reflexionen. Si te notas presionado, frena. Di que necesitas tiempo para obtener toda la información, que tienes que consultarlo con tu superior, que no tienes los datos exactos a mano en ese momento.... lo que sea para concederte tiempo para pensar.

La mayoría de las veces, los ingenieros sociales no tientan a la suerte si se dan cuenta de que han perdido la ventaja del factor sorpresa.

Protege tus dispositivos

También es importante proteger los dispositivos para que, en caso de producirse un ataque de ingeniería social, aunque sea fructífero, tenga limitado el acceso a la información. Los principios básicos son los mismos tanto si se trata de un smartphone como de una red doméstica básica o un gran sistema corporativo.

Mantén el software antimalware y antivirus actualizado. Esto puede ayudar a evitar que se instale el malware adjunto a los correos de phishing. Utiliza un paquete como el antivirus de Kaspersky para mantener tu red y tus datos seguros.
Actualiza de manera regular el software y el firmware, sobre todo si se lanzan nuevos parches de seguridad.
No utilices tu teléfono liberado (método root) ni tu red o el PC en modo administrador. Incluso aunque un ataque de ingeniería social consiga la contraseña para tu cuenta de «usuario», con ella no podrán reconfigurar tu sistema ni instalar software en él.
No utilices la misma contraseña para distintas cuentas. Si mediante un ataque de ingeniería social consiguen la contraseña de alguna de tus cuentas en redes sociales, no te interesa que desbloqueen todas tus demás cuentas.
En el caso de las cuentas más importantes, utiliza la autenticación de dos factores para que el mero hecho de conseguir tu contraseña no baste para acceder a la cuenta. El segundo factor puede ser desde reconocimiento de la voz o de la huella dactilar hasta el uso de un dispositivo de seguridad o la introducción de códigos de confirmación enviados por SMS.
Si has revelado la contraseña de una de tus cuentas y crees que puede haber sufrido un ataque de ingeniería social, cámbiala inmediatamente.
Mantente informado sobre los nuevos riesgos de ciberseguridad : conviértete en un lector habitual de nuestro Centro de recursos. De esta manera, podrás mantenerte al corriente de todos los nuevos métodos de ataque a medida que vayan apareciendo, gracias a lo cual reducirás el riesgo de convertirte en una víctima.

Reflexiona sobre tu huella digital

Tal vez te interese reflexionar también sobre tu huella digital. Compartir un exceso de información en Internet, por ejemplo a través de las redes sociales, puede resultar de ayuda a los atacantes. Por ejemplo, muchos bancos incluyen «Nombre de tu primera mascota» como posible pregunta de seguridad. ¿Lo has publicado alguna vez en Facebook? En caso afirmativo, eres vulnerable. Además, algunos ataques de ingeniería social intentan ganar credibilidad aludiendo a eventos recientes que tal vez hayas publicado en las redes sociales.

Te recomendamos configurar los ajustes de tus redes sociales a «solo amigos» y ser cauteloso con lo que compartes. No hace falta que seas paranoico; solo ten cuidado.

Reflexiona sobre otros aspectos de tu vida que compartes en Internet. Si tienes un currículum online, por ejemplo, plantéate si te conviene indicar tu dirección postal, número de teléfono y fecha de nacimiento, ya que todo ello es información de utilidad para cualquiera que esté planeando perpetrar un ataque de ingeniería social. Si bien algunos ataques de ingeniería social no ponen el punto de mira en una víctima concreta, otros están preparados con meticulosidad, así que facilita la mínima información posible a los delincuentes.

La ingeniería social es muy peligrosa porque parte de situaciones perfectamente normales y las manipula con fines delictivos. Aun así, sabiendo bien cómo funciona y tomando unas precauciones básicas es mucho menos probable que te conviertas en una víctima de la ingeniería social.

Enlaces relacionados

Ingeniería social - Definición

Cómo penetra el malware en los ordenadores y sistemas informáticos

Estafas disfrazadas de asistencia técnica

Maneras de evitar ataques de ingeniería social

Kaspersky

¿Qué son los ataques de ingeniería social? En este artículo respondemos a esta pregunta y te explicamos cómo evitar convertirte en una víctima. Léelo para averiguar cómo protegerte.