Ingeniería social: Cómo te roban tus datos y no te das cuenta

En este artículo encontrarás un mini curso de ingeniería social donde podrás hacerte una idea general de porqué es tan peligrosa si se usa con fines poco lícitos, estudiar sus técnicas y repasar casos reales.

¿Qué es la ingeniería social en seguridad informática?

La ingeniería social consiste en un conjunto de engaños y técnicas de manipulación perpetrados con el fin de obtener información confidencial o comprometida de personas, así como acceso o mayores privilegios en sistemas informáticos de empresas y organizaciones.

El concepto de ingeniería social se rige por el siguiente término:

Es más fácil hackear a las personas que a las máquinas.

La razón es bien simple: Nosotros tenemos consciencia, somos manipulables, los ordenadores no. Si a eso le sumamos que cada vez los ordenadores son más seguros, eso nos deja a nosotros como la principal vía de acceso a toda la información sensible que queremos ocultar, y es justamente lo que los piratas informáticos explotan. Por lo tanto podemos afirmar que la ingeniería social es la ciencia o el arte de hackear a las personas.

Ingeniería Social
Asegurate de que páginas de transacciones bancarias y formularios de datos sensibles usen siempre el protocolo HTTPS

¿Ves la gran ironía en todo esto? Los principales interesados en mantener a salvo nuestra información personal somos los que les abrimos las puertas a los delincuentes que quieren abusar de ella.

Seguro que estarás pensando, pero a ver, que si yo no quiero dar mi contraseña, no la daré. ¡Es imposible que la consigan a través de mi!

Lo siento mucho, pero te equivocas. Casi todo el mundo está expuesto sin darse cuenta solamente con el contenido de sus redes sociales. De hecho, el uso de la ingeniería social en política nos afecta diariamente, pero claro, no nos damos cuenta. Y es que de eso se trata.

E aquí un ejemplo BUENÍSIMO del uso de la ingeniería social en la vida real de la mano de la serie Mr Robot.

5 características sobre la ingeniería social

  1. En cualquier lugar y por cualquier medio: Así es, no solamente los hackers usan la ingeniería social para sonsacarnos información. Los partidos políticos, las grandes multinacionales y los estados participan activamente en campañas de ingeniería social a través de medios físicos y digitales.
  2. Explotan la condición humana: Como decía al principio del post somos manipulables y además animales de costumbres. Por eso si los cíber criminales nos seducen o nos generan una sensación de confianza, nos meten prisa o nos ponen entre la espada y la pared (Tiene 24 horas para enviar sus datos o se le tramitará la multa), aprovechan el respeto o miedo a una autoridad (El jefe de tu trabajo te pide las credenciales de acceso) y muchas otras situaciones, tendemos a ceder porque consideramos que revelar la información es la situación que menos nos afecta.
  3. Te puedes encontrar desde verdaderos expertos hasta principiantes bastante «lamentables»: La calidad de las estafas es muy variable. Hay atacantes con mucha experiencia detrás que saben imitar perfectamente el papel de un empleado de soporte o escribir correos corporativos calcados a los originales.
  4. Las empresas son el objetivo número uno: Un particular no tiene tanto que esconder como las empresas. Estas tienen bases de datos con toda la información de sus trabajadores, sus cuentas, acciones futuras, etc.
  5. Sucederá sin que te des cuenta del ataque: Una de las particularidades de la ingeniería social es la de pasar casi desapercibida. De hecho va ligado al anterior punto: un verdadero experto te transmitirá una sensación de seguridad y confianza que hará de cortina de humo a su verdadero propósito.

 

Formas de ataque en la ingeniería social

Phishing

Existen muchas formas, temas y medios por los que se te puede atacar en función de la motivación, la imaginación y la experiencia del atacante.

Medios

  • Mensajería instantánea: Whatsapp, Line, Instagram Direct, Twitter, Skype, Discord, etc. Todos estas aplicaciones de mensajería poseen la característica de una rápida dispersión de la información y capacidad de viralización casi instantánea, lo que es ideal para llegar en el menor tiempo a cuanta más gente posible.
  • Redes Sociales: Un escaparate lleno de información que la mayoría de los hackers usan para documentarse sobre la víctima e incluso obtener directamente la información que buscan. Es muy frecuente en el usuario de perfil más joven, que no dudará en subir fotos junto a su familia y amigos, en los lugares que frecuenta, mostrando sus relaciones y sus hobbies.
  • Por teléfono: Una de las más usadas. El delincuente llama haciéndose pasar por alguien más, ya sea un empleado, un técnico de soporte o incluso una autoridad superior.
  • Por Internet: Cuando navegamos por la red estamos expuestos a muchas posibles trampas.
    • Correo electrónico: A través de enlaces con malware o phishing.
    • Web: Banners, publicidad engañosa y formularios falsos.
    • Salas de chat y Foros: Donde expertos desconocidos se ganan tu confianza.
  • Dumpster Diving o Trashing “basureo”: Consiste en rebuscar información entre la basura. Desde memorias USB hasta facturas o agendas de teléfonos.
  • Vía correo postal: Es un medio al que automáticamente le damos mucha credibilidad y confianza. Una gran parte de las facturas y comunicados importantes de bancos nos llegan por aquí. Los hackers lo saben y no dudan en beneficiarse de ello.
  • Cara a cara: requiere una habilidad mucho mayor que las otras técnicas ya que además de manipular se debe controlar el lenguaje corporal y tener la capacidad de adaptarse a nuevas situaciones y controlarlas, pero si se domina bien es la más efectiva sin duda alguna.

Pretextos

Lo primero que hará un buen hacker es analizarte psicológicamente basándose en tus respuestas y comportamiento ante las situaciones que vaya proponiendo, en base a eso usará alguno de los siguientes pretextos o situaciones:

  • Pretexto de familiaridad: Hacerse pasar por un familiar infunde una confianza casi ciega.
  • Propuestas de carácter sexual: Desde la típica mujer a 3 km que quiere conocerte hasta una identidad robada con tus mismos gustos a la que milagrosamente le gustas.
  • Crear una situación hostil: En perfiles de víctimas concretos puede resultar rotundamente efectivo.
  • Regalos y propuestas inmejorables: Uno de los pretextos más típicos y con más víctimas que no han dudado en caer entre sus garras. Que te ofrezcan trabajo o te regalen el robot aspirador que estás deseando comprarte hacen cambiar el parecer de más de uno/a.

Técnicas de ingeniería social

El patrón que usen los hackers seguramente siga alguna de las siguientes técnicas de ingeniería social:

  • Phishing: Engañar al usuário mediante correos electrónicos fraudulentos en los que se le pide que introduzca datos bancarios o contraseñas para un propósito lícito.
  • Vishing: El pirata informatico se hace pasar por álguien que no es para ganarse la confianza del usuario, ya sea una organización respetada o un teleoperador, y realiza una encuesta telefónica para sacar todo tipo de información personal sin que este se de cuenta.
  • Baiting: El atacante prepara una serie de unidades USB, portátiles o tablets con malware instalado. A continuación las sitúa en lugares estratégicos como bares o restaurantes, baños públicos, plazas públicas y cibercafés con el fin de que alguien las encuentre, se las lleve y las conecte a su máquina (en el caso de los USB) o a su red (en el caso de los portátiles y tablets). Entonces el software se instalará y el hacker podrá obtener todos los datos del usuario. Uno de los máximos exponentes en la ingeniería social inversa o pasiva.
  • Quid pro quo: Esta expresión latina significa «algo por algo», y de eso se trata esta técnica. El atacante se hace pasar de nuevo por un empleado de soporte técnico. Esta persona informará de un problema legítimo y muy amablemente se ofrecerá a ayudarte. Será pues en dicho proceso en el que se hará con tus datos ya sea haciéndote instalar un malware o haciendo que le des privilegios en tu sistema operativo.
  • Shoulder Surfing: Se usa en ataques físicos y no es más que el típico «mirar de reojo por encima del hombro». Puede parecer una tontería que lo clasifique como técnica de ingeniería social pero los verdaderos maestros «mirones» solo necesitan una pequeña distracción para que vean tu pin de la tarjeta de crédito.

Estas técnicas se engloban en dos grandes grupos

  • Hunting: Son aquellos ataques que buscan obtener un dato concreto o una información específica con la menor exposición posible por parte del atacante. Cuanto menos contacto mejor. Normalmente se enfocan a la obtención de contraseñas a través de emails fraudulentos o phishing, donde la víctima solamente tiene contacto con el atacante en el momento de recibir el mail.
  • Farming: Todo lo contrario. Las campañas de farming buscan mantener el engaño el mayor tiempo posible para obtener el máximo número de recursos y datos de la/s víctima/s. Para ello se suele recurrir a identidades falsas o robadas, que buscan ser tus amigos, darte dinero, placer sexual, etc.

 

Como defenderte de la ingeniería social

Defenderte de Ingeniería Social

Sí. Defenderte porque no puedes erradicarla. No hay ningún método infalible contra la ingeniería social, pero sí que puedes protegerte.

Ahora que ya conoces qué es la ingeniería social, los principales pretextos y técnicas usadas en los ataques y  sus características comunes, simplemente tienes que contrarrestarlo.

En el caso de un usuario, de un particular, recomendaría lo siguiente:

  • No abras enlaces sospechosos. Sobretodo en el correo: Las entidades bancarias nunca te pediran que pongas información sensible a través de un correo electrónico.
  • No divulgues información personal con desconocidos o en lugares públicos como foros o redes sociales.
  • Regula quién puede ver tus redes sociales.
  • Ten el antivirus actualizado y realiza análisis del sistema periódicos.
  • Desconfía de todo lo que sea demasiado bueno como para ser verdad (¡Has ganado!, Prueba esto y hazte rico en 30 días, etc).
  • Si es gratis, el producto eres tu (tu información).
  • No actúes impulsivamente, lee las cosas dos veces antes de dar tu consentimiento.
  • Si crees que alguien te está engañando pídele que se identifique.

En el caso de una empresa, que por supuesto dispone de más recursos que un usuario base y además suele recibir tanto el mayor número de ataques así como los más sofisticados, debería proceder de la siguiente forma:

  • Conscienciar a los empleados con las reglas y consejos descritas anteriormente.
  • Realizar ataques controlados, es decir, recrear situaciones reales como si de ataques de ciber criminales se tratara, pero en un medio seguro y supervisado, sin amenazas reales.
    • En estos ataques, cada vez que se consiga hackear a un empleado, este recibirá una alerta que le avisará de que ha sido víctima de un pirateo. Esto provocará un choque emocional en el sujeto que le hará volverse más cauto.
    • Analizar los objetivos de los ataques, los motivos, los medios, que vulnerabilidad psicológica han explotado, el perfil del empleado que ha sido víctima, etc.

 

Casos reales de ingeniería social en internet

La mejor forma de aprender y coger experiencia frente a los ataques es analizando algunos ejemplos de ellos.

  • Virus Stuxnet: En Enero de 2010 se introdujo una memoria USB en la central nuclear de Natanz, Irán. Este USB estaba infectado con un malware llamado Stuxnet, que no era más que un gusano programado para un fin concreto. Este fin era el de escanear la red de computadoras de la central y inutilizar las centrifugadoras usadas para enriquecer el uranio. Cerca del 20% (unas 1000 centrifugadoras) quedaron inutilizadas debido a este ataque de Baiting, que le costó millones al gobierno Iraní. No se sabe de los creadores de dicho programa, aunque se sospecha que los gobiernos de Estados Unidos e Israel pueden estar involucrados.
  • Principe nigeriano: Es un ataque de phishing que consiste en el envío masivo de emails en los que un supuesto príncipe de Nigeria te regala su herencia a cambio de que abones tu cuenta bancaria o le pagues los costes y comisiones del traslado del dinero. Existen muchas variantes de este ataque: desde los famosos ¡Te ha tocado la loteria! a cuentas bancarias abandonadas e incluso contratos de obra pública. Aunque en su día ya se detuvo al autor de dicho ataque es muy posible que sigamos recibiendo correos similares debido a la popularidad y efectividad que ha adquirido la técnica.
  • Virus de correos: A principios de 2016 se detectó en España una gran campaña de phishing perfectamente orquestada que suplantaba con éxito la identidad de Correos. El objetivo de dicho ataque era redirigir a los usuarios a una web maliciosa que les instaba a descargar un programa infectado que encriptaba el contenido de sus archivos para posteriormente pedirte que abonaras un rescate si querías recuperarlos. El mensaje era el siguiente, ¿verdad que parece real?
    Virus de Correos Mensaje Phishing
    Mensaje Phishing de la estafa de Correos
  • Virus de la policia : Este virus te bloquea el ordenador argumentando que el afectado había visualizado contenidos ilegales como zoofilia, agresiones o pornografía infantil, etc y les pedía pagar una multa de 100 euros si lo querían desbloquear.
  • Timo de mercadona: A través del mensaje «En Mercadona estamos celebrando el 50 aniversario y por eso regalamos 50 euros para todos» conseguían que las victimas llegaran a una página de Mercadona falsa en la que visualizaban publicidad fraudulenta. En este caso el ataque de phishing no tenía como objetivo el robo de datos, pero sí que poseía un componente de viralización enorme porque el primer paso consistía en una rápida encuesta de 3 preguntas que una vez terminada te animaba a compartir vía facebook.

 

Conclusiones

La ingeniería social está más presente en nuestras vidas de lo que creemos. Es un campo fascinante tanto des del punto de vista psicológico como des del punto de vista de marketing, sin embargo es importante estar bien protegidos y concienciados de esta práctica, nadie quiere que sus datos se vendan a través de la dark web junto a los de otros millones de usuarios.

Pese a la gran variedad de perfiles de atacantes, estrategias y técnicas, como has visto, con contadas acciones te puedes proteger en un 99% de los casos, no cuesta nada.

Ingeniería social: Cómo te roban tus datos y no te das cuenta
5 (100%) 9 vote[s]

Martí Juncosa

Estudiante de ingeniería informática en la UPC (Universitat Politècnica de Catalunya).
Apasionado del SEO y las páginas web así como todo lo que tiene que ver con tecnología e innovación.

Comentar

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

redes informáticas

Shortcodes Ultimate

Redes Sociales

Shortcodes Ultimate

¡Síguenos en Twitter!

Shortcodes Ultimate

Las mejores reseñas del mercado

guías de compra