Tratando de mantenerme siempre a la vanguardia y más aún en el área de la ciberseguridad estuve leyendo la proyección que para el año 2022 realizo la empresa Panda Security sobre los ataques a la seguridad informática y la seguridad de la información tanto de empresas como de personas naturales. Ellos indican que los ciberataques basados en la ingeniería social se van a duplicar. Es decir, los hackers van a tomarse más tiempo en enviar comunicaciones fraudulentas a sus víctimas, ya que antes de ponerse en contacto con ellas, estudiarán en profundidad quiénes son para que, al contactar con ellas, sus mensajes sean mucho más creíbles.
A medida que la informática evoluciona, los ciberestafadores lo hacen con ella, adaptando sus métodos a las nuevas oportunidades que les ofrecen metodologías como la ingeniería social. Estas son estrategias con las que los hackers roban datos, contraseñas e información sensible de los usuarios mediante el engaño. Al ser el eslabón humano el más débil de la cadena en cuestiones de ciberseguridad, los delincuentes se aprovechan de esta vulnerabilidad para infectar empresas con ransomware, por ejemplo.
De hecho, el smsishing, que es una forma de hacer phishing, pero a través de mensajes de texto en el teléfono celular, ha aumentado de manera constante durante los últimos años. Se trata de una técnica que los hackers van puliendo con los años para que sea cada vez más efectiva. Ya llegaron al punto que roban la identidad de la persona realizando llamadas de voz entre las 2 y 4 de la mañana cuando la persona está dormida y seguramente tiene su teléfono apagado o no va a contestar para que con unos comandos específicos poder robar la información del usuario final o endpoint.
Por medio de la ingeniería social, los ciberdelincuentes cada vez saben cada vez más cosas sobre sus víctimas para enviarles mensajes cada vez más personalizados y creíbles. Sin embargo, los hackers son conscientes de que las herramientas de mensajería como WhatsApp, Facebook Messenger o Telegram se usan mucho más y con mucha más rapidez que el tradicional mensaje de texto. Por eso, cada vez más se introducen en entornos empresariales para hacer robos mucho más planificados y mucho más cuantiosos.
Pero ¿En qué consiste la ingeniería social?
Básicamente, la ingeniería social es capaz de aprovechar los sesgos cognitivos de las personas, una característica de la que por ahora las máquinas carecen; por ejemplo, valiéndose de la confianza que puede provocar una figura de autoridad, un familiar o una gran empresa. De esta forma, los hackers se hacen pasar por una de estas figuras para acercarse a la víctima y obtener todo tipo de información personal o financiera.
Los ataques suelen comenzar con un correo, un mensaje directo a través de redes sociales o aplicaciones de mensajería, un mensaje de voz e incluso una llamada aparentemente inofensiva y de una supuesta fuente fiable. Dentro de la ingeniería social, existen distintas técnicas a las que se les ha dado nombre para poder identificarlas y a su vez, prevenirlas
Phishing
Los ciberestafadores se comunican con sus víctimas, normalmente a través del correo electrónico, haciéndose pasar por una fuente fiable como un banco, una empresa de electricidad o de algún servicio básico o incluso una plataforma de compra venta como Amazon. En estos mensajes pueden pedir a la víctima de forma directa sus datos o instarla a acceder a un link para loguearse en el supuesto servicio.
Vishing
Esta estafa es una ramificación del phishing, sólo que la comunicación es por voz. Los ciberestafadores suplantan un número telefónico de fuentes fiables como entidades gubernamentales o grandes empresas, haciéndose pasar por técnicos, empleados, alguien de recursos humanos o incluso compañeros de trabajo.
Whaling
Al igual que en el vishing, los estafadores suplantan la identidad de compañeros de trabajo para obtener información de una empresa, el whaling trata de simular ser CEO o un cargo importante dentro de una gran empresa, para atacar directamente a altos cargos o directivos de esa misma organización, obteniendo así información valiosa, además de claves y contraseñas.
Smishing
Es un tipo de phishing, que se lleva a cabo a través de SMS, cuya clave está en la celeridad que demanda el atacante durante su comunicación con la víctima.
Baiting
No todas las formas de estafa son digitales, el baiting es un híbrido. Los hackers dejan en sitios estratégicos USB infectados con malware, lugares como estaciones de autobús, tren o metro, establecimientos públicos o universidades. De esta forma, gracias a la curiosidad innata del ser humano, logran infectar el ordenador del incauto que conecte el USB extraviado para mirar su contenido.
Cómo evitar las estafas a través de ingeniería social
No hace falta ser un experto en tecnología para evitar la mayor parte de las técnicas de ingeniería social, basta con prestar atención a ciertas señales y seguir buenas prácticas como instalar un antivirus de confianza, capaz de proteger de amenazas avanzadas y ciberataques, yo por ejemplo utilizo Dr. Web; o configurar la cuenta de correo electrónico para reforzar los filtros de spam.
También es aconsejable investigar el remitente de la comunicación, llamando al servicio al cliente oficial de la empresa o poniéndose en contacto con el familiar o compañero que supuestamente se está comunicando. Así mismo desconfía de ofertas y ventajas demasiado buenas a cero costos, ya que suelen ser un gancho de las estafas que utilizan ingeniería social.
Adolfo M. Gelder
@adogel
t.me/seguridadintegral
