Tecnología
Ingeniería social: ¿Qué es y cómo se utiliza para ejecutar ciberataques?
Las víctimas de esta peligrosa técnica han sufrido grandes pérdidas.
En la era digital, los ciberataques se han convertido en una amenaza que afecta con más fuerza a individuos, empresas y gobiernos por igual.
Pese a que la tecnología ha avanzado a pasos agigantados, para proteger la información y la infraestructura digital, muchos de los ciberataques más peligrosos se producen mediante técnica subestimada, pero altamente eficaz en manos de los ciberdelincuentes hábiles, se trata de la ingeniería social.
¿Qué es la ingeniería social?
La ingeniería social es una técnica que se basa en la manipulación psicológica en lugar de la explotación directa de fallas o vulnerabilidades en sistemas informáticos. Usualmente se apela al engaño de las personas para así obtener información que permita penetrar sistemas de seguridad.
De manera que se busca explotar la confianza o falta de conocimiento de las personas, para acceder a información confidencial y así ejecutar maliciosas.
Lo más leído
Expertos en ciberseguridad le explicaron a SEMANA que la ingeniería social se basa en la comprensión de la psicología humana. Por ello los atacantes apelan a usar la empatía, confianza, curiosidad o el miedo de la víctima para lograr sus objetivos.
La clave del ataque radica en crear situaciones que lleven a las personas a actuar de forma apresurada y de una manera que beneficie al atacante.
Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica, explicó que el objetivo de estas tácticas no solo buscan robar información, también se trata de engañar a la víctima para que descargue programas maliciosos en el equipo que puedan espiar o desplegar publicidad en el dispositivo.
¿Qué técnicas de ingeniería social usan los cibercriminales?
Phishing
Esta es una de las formas más comunes de ingeniería social. Los atacantes envían correos electrónicos aparentemente legítimos en donde suplantan a instituciones oficiales o marcas confiables, como bancos o empresas, solicitando información confidencial, como contraseñas y números de tarjeta de crédito.
La víctima, engañada por la apariencia legítima del correo electrónico, cae en la trampa y revela información privada.
Fingir ser alguien que no se es
Los ciberdelincuentes pueden hacerse pasar por alguien de confianza, como un empleado de una empresa, familiar o amigo, para obtener información privilegiada. Esta técnica se utiliza para manipular a las personas para que divulguen datos confidenciales o realicen acciones que normalmente no harían.
Es importante precisar que las redes sociales son un terreno fértil para la ingeniería social. Los atacantes pueden recolectar información personal desde los perfiles de las víctimas y usarla para crear estrategias de engaño más efectivas.
Además, pueden enviar enlaces maliciosos o código malicioso (malware) disfrazado como contenido atractivo.
Cómo protegerse contra la ingeniería social
Debido a que el eje de un ataque de ingeniería social se basa en la manipulación de las personas, la educación y la concienciación son las mejores defensas. Algunas medidas que las personas y las organizaciones pueden tomar para protegerse son:
Capacitación y Concientización
La formación en ciberseguridad es esencial. Las personas deben aprender a reconocer las señales que evidencias un ciberataque, como los correos electrónicos inusuales, solicitudes de información privada y mensajes de personas conocidas con pretextos inesperados.
La educación puede ayudar a las personas a desarrollar una mentalidad más crítica.
Verificación de Identidad
Es fundamental adoptar el hábito de siempre corroborar la identidad de la persona o entidad que solicita información confidencial o que emitió un mensaje inusual. Esto se aplica a correos electrónicos, llamadas telefónicas y mensajes en línea. Una simple llamada de verificación puede evitar muchos problemas.
Configuración de Privacidad en Redes Sociales
Es crucial ajustar la configuración de privacidad en las redes sociales para limitar la cantidad de información personal visible para el público en general. Entre menos datos tengan los atacantes, menor será la eficacia de su ataque con ingeniería social.
Seguridad Informática Actualizada
Mantener los sistemas y el software actualizados con las últimas actualizaciones y parches de seguridad es crucial. Esto ayuda a reducir las vulnerabilidades técnicas que los ciberdelincuentes podrían explotar en caso de que la ingeniería social no funcione.
Gutiérrez Amaya comentó que la vigencia de este tipo de ataques estaría relacionada con las constantes mejoras que los atacantes aplican. Por ello es clave la capacitación para evitar caer en engaños cada vez más refinados.