Qué es la ingeniería social y cómo se utiliza en ciberataques

La ingeniería social es una técnica de manipulación psicológica utilizada por ciberdelincuentes para obtener información confidencial, acceso a sistemas o realizar acciones perjudiciales a través de la persuasión, el engaño o la explotación de la confianza de las personas.

Y a diferencia de un ataque cibernético, esta modalidad no involucra la explotación de vulnerabilidades técnicas, sino que se enfoca en aprovechar la ingenuidad, la amabilidad o la falta de conocimiento de las personas para lograr sus objetivos.

Un ejemplo de ello es cuando un atacante envía correos electrónicos falsificados que parecen provenir de una empresa legítima, como un banco o una red social, solicitando a la víctima que revele sus credenciales de inicio de sesión. La víctima, creyendo que es un mensaje genuino, proporciona sus datos personales y financieros.

Los seres humanos han evolucionado para actuar y comportarse de determinadas maneras para establecer estructuras sociales fuertes y cohesionadas. Elementos como la confianza son componentes vitales de las sociedades y los estafadores entienden este comportamiento y saben cómo manipular a la gente generando una sensación confianza.

Esto es especialmente evidente en la suplantación de identidad telefónica, que ocurre cuando los delincuentes se hacen pasar por funcionarios de soporte técnico y llaman a las personas, afirmando que hay un problema en su computadora que necesita ser reparado.

Asimismo, estos atacantes también pueden llamar a una empresa haciéndose pasar por un empleado y solicitar información confidencial o contraseñas. Si no se verifica adecuadamente la identidad, la organización podría caer en la trampa y divulgar información sensible, además de perder dinero.

Un caso conocido ocurrió en los años 2013-2015, cuando Google y Facebook fueron víctimas de una estafa de phishing dirigida por el lituano, Evaldas Rimasauskas. Quien se hizo pasar hábilmente por un popular fabricante de hardware informático llamado Quanta Computer y engañó a ambas compañías con correos electrónicos falsos, logrando que transfirieran más de 100 millones de dólares a sus cuentas.

El ataque fue global y no se descubrió hasta 2017 y como resultado, las empresas tecnológicas reforzaron sus medidas de seguridad en los pagos. Además, el incidente evidenció que incluso las big tech no son inmunes a la ingeniería social.

Otros comportamientos humanos, como el deseo de tener una relación, hacer un buen trabajo, no meterse en problemas o no perderse algo bueno, también son objeto de abuso por parte de los ciberdelincuentes. Quienes también crean perfiles falsos en redes sociales y establecen relaciones de confianza con personas reales, para obtener información personal o persuadirlos para que hagan clic en enlaces maliciosos, realicen falsas inversiones o les envíen dinero.

Además, esta técnica se utiliza con otros tipos de ciberataques, como es el caso del “spear phishing”, en el que los estafadores personalizan sus mensajes para una víctima específica, utilizando información que han recopilado previamente de fuentes públicas o redes sociales. Esto hace que la comunicación sea más creíble y aumenta la probabilidad de éxito.

También se encuentran los ataques de ransomware por ingeniería social, y en esta los delincuentes envían correos electrónicos con archivos adjuntos maliciosos o enlaces que parecen legítimos para una mejor persuasión. Cuando la víctima hace clic o descarga el archivo, su computadora se infecta con programas maliciosos que cifran archivos y exigen un rescate para su liberación.

Un caso de estafa por ingeniería social

Un individuo cayó en una trampa tendida por un estafador que se hizo pasar por un funcionario de una entidad bancaria, revelando inadvertidamente sus datos y poniendo en riesgo su seguridad financiera. Esto tras solamente recibir una llamada telefónica en su casa.

Del otro lado de la línea, el atacante se identificó como un empleado del banco en el que esta víctima tenía su cuenta. El supuesto empleado afirmó que había una “actividad inusual” en la cuenta y que necesitaba verificar algunos detalles para proteger su seguridad financiera.

El estafador era hábil y utilizó un tono persuasivo y un conocimiento detallado de la información personal de este usuario, como su nombre, dirección y los últimos dígitos de su número de cuenta, para ganarse su confianza.

Luego, solicitó que confirmara su número completo de cuenta bancaria y su número de identificación “para verificar su identidad”. Y es aquí donde la ingeniería social hace lo suyo debido a la presión generada por la aparente urgencia de la situación y el temor a posibles problemas financieros.

Al final, la víctima proporcionó la información solicitada al estafador. Sin embargo, poco después comenzó a sospechar de la llamada y decidió comunicarse con su banco directamente a través de la línea oficial de servicio al cliente, donde confirmó que no habían realizado ninguna llamada a su residencia y que sus datos habían sido comprometidos.

Inmediatamente, el usuario siguió las recomendaciones del banco para proteger su cuenta y su identidad. Cambió sus contraseñas bancarias, monitoreó sus transacciones y presentó un informe a las autoridades pertinentes, incluida la policía local.

Este caso destaca la importancia de la educación y la conciencia sobre la ingeniería social utilizada por los ciberdelincuentes. Además, resalta la necesidad de verificar la autenticidad de las llamadas y correos que recibimos y nunca proporcionar información personal o financiera a través de estos medios sin confirmar la identidad del emisor.