El error humano es la puerta de entrada de la mayoría de los ciberataques. En este sentido, la ingeniería social es la técnica más utilizada por los ciberdelincuentes, para conseguir perpetrar sus ataques. Pero ¿qué es exactamente la ingeniería social y como afecta a la ciberseguridad?
La ingeniería social consiste en utilizar técnicas de manipulación de personas para convencerles de que actúen de determinada forma y sacar un beneficio. Nuestro comportamiento es predecible y los expertos en psicología saben qué teclas tocar para conseguir algo de otra persona.
No hay nada nuevo bajo el sol. Las estafas de toda la vida como el tocomocho, la estampita o la estafa nigeriana no dependen de la tecnología, dependen la facilidad con que se puede manipular el comportamiento de una persona.
Estas mismas técnicas se han reinventado y adaptado a los nuevos tiempos, utilizando nuevos canales y nuevas tecnologías.
En la ingeniería social interviene más la psicología que la tecnología y, por tanto, no existe ningún sistema informático que nos pueda proteger de un ataque de este estilo, porque es mucho más sencillo manipular a una persona que intentar romper la seguridad de un sistema informático.
Por eso, la mayoría de los cibercriminales no invierten mucho tiempo en probar tecnologías complejas para sus ataques, sino que aprenden técnicas de ingeniería social. De hecho, existen páginas web con información valiosa donde aprender los métodos para engañar a las víctimas (desde Tecteco no vamos a hacer publicidad de estos espacios).
Principios en los que se basa la ingeniería social
Las técnicas de manipulación son más antiguas que la tos y, ya por los años 80, Robert Cialdini escribió un magnífico libro sobre los principios de la influencia, los cuales llevan años estudiándose y aplicándose desde entonces en marketing, publicidad y ventas.
Porque igual que convences a alguien para que te compre un producto puedes hacerlo para que realice otro tipo de acción, como, por ejemplo, para beneficio de un ciberdelicuente.
En su libro, Cialdini identificó los siguientes 6 principios básicos de la influencia:
Reciprocidad:
Cuando alguien nos regala algo o nos hace un favor, nos sentimos en deuda con esa persona y trataremos de devolverlo. Por ejemplo, en la venta callejera te regalan un pequeño objeto por el que luego nos sentimos obligados a comprarles algo a cambio.
Urgencia:
Todos hemos sido influenciados por esta técnica. En ella se apela a la caducidad de una oferta o a la escasez de un producto para movernos a actuar con rapidez y sin pensar demasiado si estamos haciendo lo correcto o lo que nos conviene.
Coherencia y compromiso:
Somos animales de costumbres y solemos actuar en función de cómo lo hemos hecho anteriormente con el fin de proyectar una imagen coherente de nosotros mismo. En este sentido, si consigues que alguien se comprometa con algo, hay muchas posibilidades de que sea coherente con dicho compromiso de manera automática. Por ejemplo, un ciberdelincuente que haya suplantado la identidad de un empleado puede pedirnos que realicemos determinadas tareas «normales» para que, en un momento dado, pedir otra que, por extraña que nos parezca, nos sintamos comprometidos a realizar para mantener nuestra coherencia interna.
Confianza:
Solemos hacer caso de las personas que nos caen bien. Los ciberdelincuentes buscan ganarse nuestra confianza previamente a un ataque. Se hacen pasar por otra persona, crean perfiles que se ajusten a tus preferencias para conseguir que actúes. Los ciberdelincuentes se aprovechan de las debilidades humanas (dinero, sexo, etc…) camelarse a sus víctimas.
Autoridad:
Nos han educado para ser obedientes con la autoridad, algo que se considera positivo. Cuando recibimos un mensaje de una autoridad legítima, tendemos a darle crédito y obedecer, sin preguntarnos si lo que se solicita tiene o no sentido. Por ejemplo, ante una petición del director general de que le facilitemos las credenciales de acceso, no se nos ocurre negarnos. En términos de ciberseguridad, la suplantación de identidad juega un papel clave en este tipo de engaños.
Validación social:
Como seres sociales que somos, buscamos la aprobación del colectivo. Ante situaciones de incertidumbre, recurrimos a saber qué comportamiento es correcto fijándonos en lo que hacen los demás. Es eficaz y reduce errores porque tendemos a pensar que cuanta más gente hace algo concreto, más acertado nos parece. Lo vemos constantemente en redes sociales, donde muchas veces compartimos o nos gusta algo por el simple hecho de que muchos lo hacen; o nos guiamos por las valoraciones que tiene un restaurante para decidirnos por uno u otro. En cuanto a ciberseguridad, podemos también actuar guiados por lo que hacen otros, sin plantearnos si es o no correcto.
Tipos de tácticas de ingeniería social
Los ciberdelicuentes que usan técnicas de ingeniería social se pueden clasificar en dos grandes grupos (curiosamente, esta clasificación se utiliza también para identificar los distintos tipos de vendedores):
Los cazadores:
Son los que van directos al grano. Buscan conseguir el mayor beneficio en el menor tiempo posible, por lo que suelen contactar con la víctima y conseguir su objetivo con la menor exposición posible, como haría un cazador acechando a su presa.
El ejemplo clásico de ataques de este corte es el phishing, donde, a través del correo electrónico u otros medios de comunicación (Whatsapp, Messenger, sms, etc…) se solicita, mediante engaño, que la víctima facilite información sensible como credenciales de acceso o le instala malware que permita tomar el control del dispositivo.
Los granjeros:
Son los que, por el contrario, prefieren ganarse a su víctima y mantener el engaño el mayor tiempo posible, para poder exprimir al máximo a ésta y aprovecharse de su conocimiento, información o posición dentro de una organización.
Este tipo de ciberdelicuentes se camelan a sus víctimas, utilizando información recopilada en redes sociales o robada directamente y consiguen ganarse su confianza hasta que consideran que está lista para recolectar sus frutos. Un ejemplo de este tipo de engaños es el de las novias rusas que se enamoran por Internet.
Cómo defendernos de la ingeniería social
Todos hemos picado en las técnicas de ingeniería social, no ya de acciones fraudulentas, pero sí cuando se utilizan como armas de venta (¿quién no ha caído alguna vez en una oferta irresistible?)
Por tanto, son difíciles de evitar y será necesario tener un gran entrenamiento para reconocerlas. Si la técnica es muy sofisticada puede que acabemos cayendo en la trampa, aunque, afortunadamente, la mayoría suelen ser bastante burdas.
Algunos consejos para poder identificarlas o, de al menos, mantener en alerta:
- Si algo es demasiado bueno para ser verdad, es que seguramente lo es y, por tanto, tiene truco. O el viejo dicho de «nadie da duros a cuatro pesetas». Si te ofrecen una fortuna por tu cara bonita y todo es fácil de conseguir es que seguramente sea una estafa.
- Evita ser compulsivo, porque la urgencia y las prisas son malas consejeras. Si te ofrecen algo que requiera una respuesta inmediata, piensa antes de actuar. A veces una simple búsqueda en Internet te sacará de dudas
- Desconfía siempre de los correos que pidan datos personales. Si recibes uno de ese tipo, fíjate en el remitente del correo, la mayoría de las veces son dominios que no corresponden con empresas reales. Puedes buscar ese dominio en Internet y comprobarlo.
- La mayoría de los mensajes están mal redactados, y aunque se han sofisticado y mejorado, muchas veces hay detalles sutiles o errores que a una empresa seria no se le debería de pasar.
Por último, una simple búsqueda en Internet puede ofrecer mucha información. Ante un mensaje sospechoso, hacer una búsqueda llevará poco tiempo y seguramente se obtenga la confirmación de que es una estafa.
TECTECO