¿Qué es realmente la ingeniería social?

G DATA Guidebook

Es guapa, soltera y sus mensajes son tan atractivos como su pelo rubio. Y antes de que el destinatario de su solicitud de amistad en Facebook se dé cuenta, están escribiéndose sin parar mensajes entre ellos. Y algunos días incluso correos electrónicos largos y muy íntimos. De hecho, es increíble lo mucho que él y su conocida online accidental tienen en común. Se siente seguro y comprendido por primera vez en años, aunque nunca se han visto en persona. El destino une a algunas personas, y otras son engañadas por un estafador. Eso es lo que se llama ingeniería social.

 

Sin que las víctimas lo piensen un momento, revelan información confidencial sobre su trabajo o transfieren dinero a personas que en realidad no conocen en absoluto. La ingeniería social lleva a la gente a hacer felizmente cosas que de otra manera nunca harían. Sin embargo, contrariamente a lo que se esperaba, la ingeniería social no es una técnica de motivación, sino una forma particularmente refinada de fraude. Le explicamos qué es la ingeniería social, a quién puede afectar y cómo puede protegerse contra ella.

¿Cómo surgió la ingeniería social?

La idea de la ingeniería social surgió originalmente de la filosofía. Karl Popper acuñó el término en 1945 y con ello se refería inicialmente a los elementos sociológicos y psicológicos para mejorar las estructuras sociales. El principio de Popper se basaba principalmente en el supuesto de que las personas pueden ser optimizadas al igual que la maquinaria. En la década de 1970, los sucesores de Popper ampliaron su teoría para incluir ciertos tipos de engaños psicológicos. Sin embargo, su objetivo inicial no era el robo de datos, sino instar a la gente a una mejor interacción y a una mayor concienciación en materia de salud. Esto, en efecto, implicaba manipulación, pero con un objetivo diferente. Hoy en día nos referimos comúnmente a la ingeniería social como una forma fraudulenta de manipulación subliminal.

¿Cómo funciona la ingeniería social?

Algunos hackers se centran en la manipulación psicológica selectiva en lugar de confiar en métodos puramente técnicos.

Algunos hackers se centran en la manipulación psicológica selectiva en lugar de confiar en métodos puramente técnicos.

Aunque los métodos siguen siendo fieles a sus raíces filosóficas, los motivos de los ingenieros sociales han cambiado significativamente. Cualquiera que entienda lo que motiva a la gente puede manipularlos específicamente con un poco de instinto - y un poco más de intención criminal. A menudo, los estafadores asumen el papel de un conocido o de un comerciante de confianza, o pretenden ser de un banco o incluso los bomberos. Los agresores se ganan la confianza de esta manera, y a menudo también los datos confidenciales.

En resumen, los ingenieros sociales intentan explotar a las personas para sus propios fines. Uno de los ingenieros sociales más conocidos es el hacker Kevin Mitnick. A través de la gran cantidad de intrusiones en los ordenadores de otras personas, Mitnick se convirtió rápidamente en una de las personas más buscadas en los Estados Unidos. Se dice que ha penetrado en algunas de las mejores redes de seguridad de los EE.UU. cientos de veces; también supuestamente espió al Departamento de Defensa e incluso a la agencia NSA. En su libro "The Art of Deception" (El arte del engaño), Mitnick escribe que la ingeniería social es una forma significativamente más rápida de obtener información que los métodos puramente técnicos. En lugar de desarrollar spyware, Mitnick programó la voluntad de sus semejantes.

¿Cómo es la ingeniería social en Internet?

En la era digital, los estafadores también utilizan esta táctica en Internet. A menudo todo comienza con un correo electrónico, o a veces un mensaje a través de una red social. El clásico es el correo electrónico de phishing que atrae a la gente a un sitio web falso perfecto. Cualquiera que introduzca allí sus datos, los transmite directamente a los delincuentes. A veces los ciberdelincuentes también juegan con la curiosidad de sus víctimas y envían correos electrónicos con un enlace que supuestamente conduce a un saludo de un conocido. Pero en lugar de un mensaje agradable, lo que espera al usuario después de hacer clic es una descarga de malware.

 

Ejemplo: Robin Sage

Un ejemplo destacado de ingeniería social a través de las redes sociales es el caso de Robin Sage. Sage era joven, atractivo - y completamente inventado. En 2010, el experto en TI de EE.UU. Thomas Ryan creó un perfil en medios sociales con una foto y los intereses de una atractiva joven llamada Robin Sage. La figura ficticia de Ryan engatusó sistemáticamente a figuras militares, industriales y políticos y obtuvo de ellos información confidencial y altamente sensible. Ninguno de los afectados conoció a Sage en persona. Sólo a través de las redes sociales, Ryan envió  mensajes tan creíbles y tentadores que no dejaban lugar a dudas a sus víctimas. Ryan no estaba tan interesado en la información revelada, su objetivo principal era exponer a la gente como un agujero de seguridad, lo que logró de manera impresionante.

¿Qué significa "hacking humano"?

Como los ingenieros sociales han reconocido que la capacidad de influir en las personas puede ser un riesgo de seguridad, los expertos en TI también hablan de "hacking humano". En lugar de una computadora se hackea la mente de una persona para obtener informaciones que ella no quería revelar. Además, las manipulaciones pueden llevarle a acciones que realmente no debería hacer. En pocas palabras, las personas son un riesgo para la seguridad que se debe tomar en serio. Mientras que los escáneres de virus y los cortafuegos pueden proteger muy bien los sistemas TI, los usuarios pueden ser manipulados. Por lo tanto, la Oficina Federal de Investigación Criminal de Alemania también habla de la "debilidad humana". Mientras que una computadora funciona de manera racional, las personas también se guían por sus emociones. Algunos investigadores asumen que casi el 80 por ciento de nuestras decisiones están basadas en las emociones. Esto significa que nuestra razón tiene poca o ninguna influencia en la mayoría de los casos. Y esto es precisamente lo que explota el hacking humano.

 

¿A quién amenaza la ingeniería social?

La ingeniería social aparece allí donde las personas son la clave para obtener dinero o información de interés. Esto implica que tanto las instituciones y autoridades nacionales, como las empresas o los particulares, pueden ser manipulados y espiados. Según un estudio de la asociación de la industria de TI Bitkom, el espionaje industrial digital, el sabotaje y el robo de datos cuestan a las empresas alemanas alrededor de 51.000 millones de euros en pérdidas cada año. El 19 por ciento de las empresas encuestadas han reportado la ingeniería social como un factor clave. Además del dinero, no es inusual que se divulguen ideas o datos confidenciales. Nada de esto sucede cuando el revelador sospecha de cualquier tipo de fraude.

¿Por qué la gente es engañada por los estafadores?

En vista de las sumas a veces asombrosas que los estafadores obtienen de sus víctimas, se hace necesario hacer y responder esta pregunta: ¿Qué hace que la gente sea engañada de esta manera? Para empezar, no es necesario ser ingenuo para ser víctima de la ingeniería social. En 2015, un escolar estadounidense hizo creer a varios agentes de la CIA que era un experto en TI obteniendo importantes datos de acceso. Tuvo acceso a la cuenta de correo del director de la CIA durante durante tres días. Lo irónico es que, a diferencia de la Agencia Nacional de Seguridad (NSA), uno de los puntos centrales de la CIA es obtener información de la gente. En consecuencia, los agentes de la CIA están muy familiarizados con el principio de la ingeniería social.

¿Qué mecanismos psicológicos hay detrás de esto?

Que la ingeniería social pueda tener tanto éxito se debe a la relativa previsibilidad del pensamiento y comportamiento humanos. La ingeniería social explota principalmente características básicas específicas. En un estudio, los psicólogos Myles Jordan y Heather Goudey filtraron 12 factores que sustentan los casos más exitosos de ingeniería social entre 2001 y 2004. Estos incluían la inexperiencia, la curiosidad, la codicia y la necesidad de amor. Estas son emociones muy básicas y características personales, y a veces pueden incluso reforzarse mutuamente. Esto hace las cosas más fáciles para los agresores. Una base importante para la ingeniería social es que la gente se aferra a sus emociones dejando la razón a un lado a la hora de tomar de decisiones.

 

Ejemplo: La estafa de la novia rusa

Detrás de la máscara de una joven atractiva a menudo se esconde una persona que intenta hacerse con el dinero de sus víctimas.

Esto queda especialmente claro en el ejemplo de la estafa de la novia rusa, que se dirigía a hombres solteros en Europa occidental y central. En los correos electrónicos de spam, las chicas jóvenes rusas, por lo general muy atractivas, atraían a los hombres para que les enviaran mercancías o dinero extranjero, o para reunirse. Con la esperanza de una gran historia de amor, o al menos una aventura rápida, los hombres involuntariamente se convirtieron en parte de un entramado de lavado de dinero y contrabando. Muchas víctimas han perdido de esta manera todo su dinero.

Peticiones como "Solo puedo visitarte si tengo los papeles correctos, pero aquí todo el mundo es corrupto. Envíame dinero para los documentos y los abogados" son usados por los estafadores para encandilar a las víctimas y abrirse paso directo a sus carteras. Más tarde también piden dinero para el viaje o para ropa nueva. Explotan los activos de sus víctimas hasta que estos empiezan a sospechar o se quedan sin fondos. No sólo las fotos de las mujeres jóvenes, sino que su propia existencia es a menudo un engaño. En lugar de una chica rusa que quiere casarse, los remitentes de los atractivos mensajes son a menudo hombres de todas las edades de una amplia gama de países.

¿Qué saben los atacantes sobre las víctimas potenciales?

Los estafadores proceden de maneras muy diferentes para convertir a alguien en cómplice involuntario. Y su conocimiento de la futura víctima varía. Con el spam convencional, los estafadores no saben nada de sus víctimas. Este método se basa puramente en correos electrónicos masivos y funciona como la pesca de arrastre. Cuanto mayor sea el número de receptores, más probable es atrapar a unas cuantas víctimas. Otros métodos recuerdan más a la pesca con caña usada para una determinada especie de peces, de forma selectiva y con conocimiento del cebo que atraerá al pez. Estos ataques especializados también se conocen como "ataques de phishing con arpón", ya que los autores buscan específicamente a sus víctimas como en el caso de la pesca con arpón. Si el pez es algo más grande, por ejemplo un empleado de alto rango en una empresa internacional, los expertos también hablan de "caza de ballenas". Por lo tanto, el conocimiento de la víctima depende principalmente del premio que se espera obtener.

¿Cómo encuentran los estafadores información sobre sus víctimas?

Los ingenieros sociales pueden averiguar muchas cosas a partir de la basura.

Una mezcla de esfuerzos offline y online se llama "dumpster diving". Los estafadores buscan información valiosa en la basura del objetivo para averiguar tanto como sea posible sobre sus hábitos, intereses y su vida en general. Pañales para bebés, medicamentos, pizzas, papeleo desechado - los ingenieros sociales pueden deducir información importante de aparentes trivialidades. Mucho más agradable que rebuscar entre montones de basura es investigar a la gente en las plataformas de redes sociales. Los usuarios despreocupados presentan sus personalidades en bandeja de plata, en entradas públicas, en "me gusta" o en fotos, y facilitan así que los estafadores se congracien con ellos a través de falsas similitudes.

 

¿Cómo puedo protegerme de la ingeniería social?

  • Medios Sociales: pensar qué tipo de contenido privado compartir y qué no es el primer y más crítico paso.

  • Correo electrónico: puede protegerse de la manipulación ejerciendo precaución. Por ejemplo, si no conoce al remitente de un correo electrónico y no está seguro de cómo el remitente se ha hecho con su dirección de correo electrónico, esto es una señal de alerta. En caso de duda, póngase en contacto con el remitente por teléfono y pregúntele acerca del mensaje que recibió.

  • Teléfono: lo mismo sucede con las personas que te llaman, si no conoces a esa persona, no le des ninguna información confidencial por teléfono.

  • Enlaces: no abra ningún enlace que afirme llevarle a un inicio de sesión en el sitio web, independientemente de lo que diga el mensaje. En el mejor de los casos, usted tiene marcadores para sus sitios web importantes, como los portales de banca o compras online. Utilice sus marcadores para abrir la página de inicio de sesión. De esta manera, los intentos de fraude y los inicios de sesión falsos se hacen evidentes muy rápidamente.

  • "¡Felicidades, has ganado!": Si le prometen un premio o grandes sumas de dinero, use su sentido común. Por lo general, la gente no regala cosas, especialmente a extraños al azar. No reaccione a ningún mensaje de texto, correo electrónico o llamada telefónica.

  • Software de seguridad: al filtrar el spam y usar una protección fiable contra phishing, usted puede minimizar el riesgo de ser víctima de cualquiera de estas estafas".

Más información y fuentes

  • G DATA Internet Security
  • Jordan, M., Goudey, H. (2005) "The Signs, Signifiers and Semiotics of the Successful Semantic Attack". En Actas de la Conferencia EICAR 2005, S. 344-364
  • Mitnick, Kevin D., Simon, William (2003) "El arte de la intrusión"