Ingeniería Social

                La ingeniería social es el arte del engaño. Se trata de aprovechar las debilidades del usuario para obtener información confidencial y personal. Estos engaños pueden ocurrir a través de correo electrónico, correo convencional, teléfono, por mensajería instantánea, y hasta en contacto físico. El atacante puede hacerse pasar por algún funcionario de un banco, representante de una empresa, o alguna persona de confiabilidad de la víctima. Este término se viene escuchando recientemente, aunque existe desde que el hombre utiliza el engaño para obtener lo que quiere.

                Los ataques más concurrentes ocurren a través del correo electrónico, cuando el atacante utiliza los contactos de confianza de la víctima para enviar spam. O también, enviando correos solicitando renovación de contraseñas, números de tarjetas de créditos, información personal a supuestas empresas. También, a través de publicidad por internet pueden hacer creer al usuario que es “un ganador de una Green Card”, invitándolo a rellenar formularios falsos.

                Cuando se realizan ataques a través de correo electrónico, se le denomina Phishing. El phishing es cuando el atacante se hace pasar por un banco enviando correos a la víctima solicitando contraseña de cuenta, de tarjetas de crédito, con el fin de “renovar su cuenta o su tarjeta”. No solamente bancos, también se puede hacer pasar por las redes sociales, pidiéndole a los usuarios que rellene formularios falsos con tal de que “no le suspendan la cuenta”. El hecho de que un usuario dé sus datos personales desencadena más ataques a otros usuarios, ya que el atacante utiliza los contactos frecuentas de la principal víctima para elaborar sus ataques.

                En el caso de llamadas telefónicas, se denomina Vishing. Es similar al phishing, solo que se utiliza el teléfono como medio de ataque. El atacante llama a la víctima haciéndose pasar por un representante del banco, requiriendo claves secretas con el fin de “renovar su cuenta”; también con las redes sociales. Además, algo que vemos desde hace años, es las estafas de los paquetes turísticos. El atacante puede ofrecer maravillas con los paquetes turísticos, y mediante varias preguntas puede sacar información personal de la víctima, o incluso programar algún encuentro para concretar el paquete, que puede pasar a peores.

                Baiting es otro tipo de técnica de ataque, cuando el atacante deja intencionalmente dispositivos USB con algún programa malicioso en lugares frecuentados por gente. Aquí, lo que es la herramienta más valiosa para el atacante es la curiosidad de la víctima. El usuario, conecta el dispositivo en la computadora y éste se infecta a través de la unidad USB.

                ¿Cómo protegernos contra estos ataques? Lo principal (es parte de la cultura de cada quién) cuando nos dicen de pequeños es que no decir ninguna información personal a desconocidos o gente de baja confianza. Si recibe un correo con archivos adjuntos, no lo abra al menos que esté totalmente seguro de que iba a recibir un correo de esa persona. Los bancos nunca piden información como contraseñas para renovar cuentas o tarjetas, en tal caso lo máximo que piden es acercarse a una agencia de ellos. Y lo más importante, usted nunca va a ganar una Green Card navegando por Facebook.

                En parte, los ataques se realizan también a personas de importantes compañías, corriendo el riesgo de perder la empresa. Sea por phishing, vishing o baiting, si la víctima es una persona de un cargo importante de la empresa, puede revelar información que ponga en peligro la compañía. Si fuese el caso de una empresa de informática, al dar contraseñas corre el peligro de que el atacante entre en la información del servidor que maneja la empresa y eliminarla o utilizarla para acceder a cosas peores.

                Antes, en la mayoría de las páginas donde se navegaba, salía siempre un aviso como “Elija cuál puede ser el próximo presidente de los Estados Unidos y gane dinero” o “Felicidades! Usted es el ganador de una Green Card!” o “Felicidades! Acaba de ganar un paquete para las Islas Bahamas!”. Este ejemplo de ingeniería social era el más recurrente en la web, donde cualquier persona se esperanzaría con unas vacaciones a las Bahamas, lo cual es una mentira.

                Otro claro ejemplo de ingeniería social era antes cuando no había control de spam en los correos electrónicos (Hotmail era el que más sufría de estos ataques), donde enviaban las famosas cadenas con “Mira fotos y videos privados de X persona!”. La víctima, por curiosidad abría el archivo e infectaba la computadora con un virus potente.