En la actualidad la ingeniería social se ha convertido en el método favorito de los ciberdelincuentes para cometer toda clase robos financieros, además de destrucción, secuestro o acceso no autorizado de los datos de personas naturales y de empresas, ello debido a su gran efectividad, producto de la ingenuidad o ambición de las personas.
¿Pero en qué consiste?
La Ingeniería social busca engañar a sus víctimas con diferentes modalidades, buscando entre otras que contesten preguntas, que entreguen información estratégica para el delincuente o que acepten la instalación de algún software malicioso en sus equipos. Este método es llamado de ingeniería social porque acude a los instintos más básicos del ser humano, trabajando sobre los deseos personales, emociones, temores, ambiciones o curiosidades de las personas, para que de esta manera estás últimas hagan lo que el delincuente quiere. En realidad, lo que hace la ingeniería social es trabajar con las respuestas típicas de nuestra humanidad y ponerlas en nuestra contra.
En la ingeniería social se busca el contacto con una o más personas, estimulándolas de alguna manera para que éstas respondan automáticamente sin que se percaten que lo sucedido es una trampa que lo llevará a situaciones complejas en donde se ve afectada la seguridad de la información. Veamos algunos tipos de ataque que usan ingeniería social:
- El Baiting: Este recurso se aprovecha de la curiosidad humana y del deseo elemental de aprovechar alguna oportunidad que se presente. En la mayoría de los casos el delincuente deja abandonada una memoria USB o un DVD en un lugar público. Por supuesto que alguna persona lo encontrará y se sentirá tentada a ver el contenido o a aprovechar el medio de almacenamiento si el caso es el de una USB. Por supuesto que para conocer lo que contiene el medio deberá insertarlo en un ordenador, y es eso lo que el delincuente espera; pues, al insertar el medio en un dispositivo de lectura automáticamente infecta al ordenador e instala todo tipo de malware. Muchas veces se acude a crear un archivo que dice: “Fotos íntimas”, por lo que generalmente se tienta a la víctima a darle “Clic”, y esto conduce a ejecutar un conjunto de instrucciones que afectan el funcionamiento y la seguridad del dispositivo de lectura usado.
- El timo Nigeriano: Este método generalmente hace uso del correo electrónico, e intenta aprovecharse de la ambición o de una urgencia económica por la que pasa una persona, entonces le ofrece acceder a una herencia o a un monto importante de dinero cuya entrega es producto de un acto altruista que se realiza porque la persona está a punto de morir. En ocasiones se ofrece un trabajo internacional con enormes prestaciones salariales, y se le pide a la víctima que envíe su hoja de vida, copia de su identificación y los datos de la cuenta para bancaria para consignar viáticos y transporte, a lo que comúnmente se accede; pues no se percibe el veneno que trae el asunto. Una vez el delincuente tiene os datos, puede hacer cualquier tipo de transacción criminal local o internacional sin que el titular se entere, generándole así una serie de problemas legales. Se dice “nigeriano” porque las direcciones de correo corresponden a dominios supuestamente de ese país.
- El Spear Phishing: En este método se hace uso de fuentes conocidas de información para la persona, buscando que responda a una petición hecha por correo. Por ejemplo, el remitente de un Email se hace pasar por una entidad como la “DIAN”, e informa que existe una discrepancia en el pago de impuestos por lo que se debe revisar la declaración que está anexa al correo en un archivo comprimido. Lo del archivo comprimido es para burlar los antivirus de los gestores de correo que bloquean automáticamente códigos maliciosos. Entonces al descomprimir y abrir el archivo, el usuario se encuentra que el hecho de haber dado “clic” permitió que un programa tomara control del ordenador, secuestrara la información o instalara malware y/o software espía.
- Producto gratis: En este caso el delincuente debe conocer algo de la víctima como es el correo electrónico o el número de teléfono móvil, y algún dato adicional como podría ser la tienda donde compra, la marca de su tarjeta de crédito o un hábito de consumo. En un ejemplo, el delincuente sabe dónde compra la víctima, entonces la llama y le dice que gracias a su última compra ha ganado un teléfono móvil de alta gama, por lo que se necesita confirmar sus datos para reservarle el dispositivo, aquí la víctima emocionada por el premio entrega sus datos personales, quizás junto con los datos de su tarjeta de crédito, cayendo así en el engaño.
- SMS Vishing: Este es un caso muy habitual y favorito de los delincuentes. Aquí se conoce el número de teléfono de la víctima y su número de tarjeta de crédito, por lo que el criminal realiza una compra por internet que requerirá un código de autorización que envía el banco usualmente al teléfono móvil para que una vez introducido se complete la transacción. El delincuente inmediatamente llama al titular, se hace pasar por un funcionario del banco, le dice a la víctima que por seguridad se requiere verificar sus datos; por lo tanto, se le ha mandado un SMS con un código de seguridad para comenzar así la validación, la víctima rápidamente lee el SMS y dicta el código de seguridad, terminando así el proceso de robo.
La ingeniería social es un método de fraude eficiente con personas incautas y ambiciosas, por lo tanto, es necesario que cada individuo esté atento, sea precavido y desconfíe de cada llamada o correo electrónico. Los bancos nunca llaman a los clientes para pedirles datos ni contraseñas, ni envían correos con archivos comprimidos o ejecutables, y lo mismo sucede con las entidades públicas. Tenga mucho cuidado, las técnicas de la ciberdelincuencia son variadas, y por lo menos ya conoce las usadas a través de la ingeniería social.
Descubre más desde Blog de Privacidad, Seguridad y Compliance
Suscríbete y recibe las últimas entradas en tu correo electrónico.
