A la ingeniería social también se le conoce como el arte del engaño, y no es extrañar, ya que como sucede en cualquier espectáculo de magia, el mago o en este caso el ingeniero social, utiliza las mejores técnicas que conoce para que el truco parezca lo más creíble posible.

Para que lo entendáis bien, los ingenieros sociales utilizan cualquier reclamo para captar nuestra atención y conseguir que actuemos de una determinada forma. ¿Y cómo lo hacen? Muchas veces, aprovechando la curiosidad o el morbo que nos produce conocer y manejar cierta información, consiguen manipularlos y hacernos actuar de la forma que ellos quieren. A ver, poneros en la piel de los malos por un momento, si quisieseis que alguien se descargue un virus en su ordenador, ¿qué táctica utilizaríais?

1. Publicando un tuit con el siguiente texto “Descárgate este virus en el ordenador [enlace]”
2. Publicando el siguiente tuit: “Mira con que pelos se levanta todas las mañanas Cristiano Ronaldo [enlace]”

No se vosotros, pero nosotros sin lugar a duda elegiríamos la opción b). ¿Por qué? Es cuestión de sentido común. Si a una persona le dices directamente que si pincha en un enlace se descargará un virus, como en la opción a), obviamente no lo hará, sin embargo, si enmascaras el enlace malicioso bajo un titular que le provoque curiosidad, es posible que pique en la trampa y acabe haciendo clic. ¿Esto es magia? No, es ingeniería social.

La ingeniería social puede llevarse a cabo a través de muchos medios, entre los que se encuentra el correo electrónico, las aplicaciones de mensajería instantánea así como las redes sociales. Los servicios que más utilizamos en Internet son los más usados para prácticas de ingeniería social, ¿será casualidad o no?

Ahora que ya sabemos en qué consiste esta práctica, vamos a lo que nos interesa, conocer las excusas que más utilizan los ingenieros sociales, o lo que es lo mismo, los ciberdelincuentes, para engañarnos y conseguir sus objetivos.

• Desastres naturales/accidentes. Sí, aunque parezca mentira, este tipo de situaciones son utilizadas por los ciberdelincuentes para aprovecharse de la sensibilidad y vulnerabilidad que estos hechos provocan en las personas para, por ejemplo, difundir páginas fraudulentas de donaciones.
• Celebración de olimpiadas, mundiales, festivales, congresos… son una buena excusa para poner en circulación falsos sorteos, entradas, descuentos que todo el mundo querrá obtener. Para ello, solo tienen que introducir sus datos personales ¡Quién puede resistirse a conseguir algo gratis!
• Noticias sobre famosos: escándalos, controversias, muertes captan la atención de los usuarios. Los ciberdelincuentes, que de esto saben mucho, utilizan toda su imaginación para conseguir que hagamos clic en vídeos o links que nos darán detalles escabrosos de cómo el personaje conocido… El problema es que detrás de esa supuesta información se suele esconder algún virus.
• Situaciones que generan alarma: multas, denuncias, notificaciones, problemas de seguridad. En este grupo estarían clasificados los ya más que conocidos phishing, en los que a través de un email, se le alerta al usuario de que debe realizar una acción de forma inmediata. Principal objetivo de esto: robar datos personales y bancarios de los usuarios e infectar dispositivos para obtener un beneficio económico. Ejemplos típicos, típicos:
  • Problemas de seguridad en cuenta bancaria
  • Multas de Policía
  • Notificaciones de la Agencia Tributaria
  • Envío de facturas electrónicas
• Lanzamiento de nuevos producto o servicios. La presentación de un nuevo iPhone, actualizaciones en el sistema operativo de Bill Gates o cualquier otro producto o servicio de interés general, puede ayudar a propagar correos, mensajes, noticias, vídeos, imágenes con malware.
• Situación política del país. Difundir bulos sobre los políticos y sus partidos, es perfecto para recopilar direcciones de correo electrónico de usuarios así como otros posibles datos personales gracias al reenvío de los mensajes.

Se puede evitar ser víctima de una trama de ingeniería social aplicando sentido común, y además, siguiendo estos prácticos consejos:

• No facilitando NUNCA nuestras contraseñas a nadie, mucho menos por correo electrónico o redes sociales, por mucho que alguien nos diga a través de estos canales que por algún motivo, debemos facilitar estos datos ¡No lo hagamos! normalmente si un técnico necesita acceder a tu cuenta o a tu información, podrá hacerlo sin problema.
• Al igual que las contraseñas, JAMÁS proporcionemos nuestros datos personales ni bancarios por Internet a cualquiera si alguien bajo alguna excusa nos lo pida. Aunque el remitente parezca ser el administrador o equipo de soporte del servicio que dice ser.

• Siempre que vayamos a introducir datos privados o sensibles en una página web, asegurémonos de que nos encontramos en la url correcta, en la página web legítima del servicio.
• Nunca abramos un fichero o archivo extraño aunque sea de un remitente conocido si el mensaje no está bien redactado, no parece tener mucho sentido o sino lo esperábamos.

Para finalizar, si os preguntáis por qué los ciberdelincuentes recurren a técnicas de ingeniería social, la respuesta es sencilla, el hombre es el eslabón más débil de la cadena, una mentira bien aderezada servirá para que nosotros mismos seamos los que facilitemos, por ejemplo, nuestras contraseñas de acceso al servicio de banca online, haciendo el trabajo a los cibedelincuentes, ya que éstos no tendrán que recurrir a procedimientos más técnicos y costosos para romper los sistemas de seguridad del banco y acceder a los movimientos bancarios. Ya lo dijimos una vez y lo repetimos hoy: “La ingeniería social mueve montañas… ¡no dejes que te mueva a ti!”.