En un país donde gran parte de la población activa son nativos analógicos y dónde poco se sabe de seguridad informática, la ingeniería social es un riesgo alarmante. ¿De qué se trata?
La ingeniería social, también conocida por su nombre en inglés como social engineering, es la práctica más común y más usada en el mundo entero para el ciberdelito. Se trata de una metodología sencilla desarrollada por los hackers para obtener información, accesos o privilegios en un sistema, que exponga a una persona u organismo comprometido.
Esta estrategia malintencionada considera que “el usuario es el eslabón débil” e indaga en su entorno y hábitos para hacer el daño. Es decir, este modus operandi, en vez de estudiar la vulnerabilidad mecánica de un sistema, analiza las acciones del factor humano. Por ejemplo, la deducción de una contraseña de baja seguridad como un número de DNI del titular.
“La curiosidad mató al gato”
Como dice el refrán, a través de esta metodología de hackeo, las personas son víctimas de su propia naturaleza al reaccionar de forma predecible a diversas situaciones.
Los ingenieros sociales toman provecho del conocimiento estudiado de la conducta humana. Se trata de usar los principios de acción común de las personas, que se utilizan en el marketing y en la publicidad, para favorecer el éxito de las ventas. Por ejemplo:
La urgencia:
¡¡Llame ya!!!¡¡Últimos disponibles!!¡¡Sólo por los próximos cinco minutos!! La inmediatez impide pensar claramente y los usuarios son más susceptibles de facilitar datos a través de este medio. Por ejemplo, “si no compartís esta información con todos tus contactos dentro de las 24 horas, Whatsapp comenzará a cobrar por el servicio”.
La reciprocidad:
Por naturaleza tendemos a sentir la necesidad de dar algo a cambio de lo que recibimos. De esto se nutre, por ejemplo, las ofertas de “trabajo desde casa” en las que se promete ganar grandes sumas de dinero, pero previamente se solicita depositar cierto monto en una cuenta para comenzar a trabajar. ¡Engaño!
La confianza:
Los ciberdelincuentes son grandes artistas, pueden estar disfrazados de la persona más adorable del mundo, de una institución benéfica o una organización internacional. Lamentablemente, cuando hablamos de manipulación de datos sensibles, y sobre todo de una empresa, es importante desconfiar hasta de nuestra propia sombra.
La pertenencia:
Las personas buscan la aprobación del colectivo. Si nos informan sobre personalidades, colegas, y conocidos que han accedido a determinado acuerdo, será más fácil lograr que el usuario acceda a brindar voluntariamente su consentimiento.
La curiosidad:
Está dicho hasta en La Biblia. Basta con decirnos que no comamos una manzana para que aumente el deseo de saber a qué sabe. El saber qué hay detrás de lo oculto y lo desconocido es parte del ADN humano. Alcanza un mail que diga que el secreto de la felicidad está haciendo “click aquí” para pescar a más de un desprevenido que no podrá contener su reacción innata.
La creatividad está a la orden del día con los ciberdelincuentes, el robo de datos es un verdadero arte para ellos. Entre los mecanismos más utilizados para arrebatarles información a los usuarios desprevenidos con ingeniería social se encuentran:
Los pretextos:
Se trata de la creación de un escenario inventado para llevar a la víctima a revelar información personal. Por ejemplo, la llamada de un supuesto representante del banco, efectivos de la fuerza de seguridad, vendedores, etc.
La suplantación de identidad:
Es cuando el hacker se hace pasar por una persona de confianza o de mayor autoridad, ya sea a través del robo de claves o por otros medios como la creación de correos electrónicos muy similares al real.
Redes Sociales:
Un ingeniero social puede investigar en las publicaciones en los diversos perfiles en redes sociales a la espera de que el usuario revele información de utilidad. Por ejemplo, en cadenas de posteos que invitan a compartir datos de la vida personal como el nombre de tu primera mascota, y otras cuestiones que suelen ser la pregunta de seguridad de un sistema tradicional.
Phishing:
En este sistema, la meta es engañar al usuario haciéndole creer que un administrador le pide la contraseña para propósitos legítimos como “crear una cuenta” o “reactivar una configuración”. También se utiliza para la descarga de archivos adjuntos en correo electrónicos que llevan a una ejecución automática.
Manipulación cara a cara
No siempre el hacker se esconde detrás de una herramienta tecnológica. Puede que sea alguien que se ha tomado el trabajo de conocer a la víctima y pueda deducir las contraseñas habituales, típicas o por información del pasado y presente.
Vishing:
Este caso se centra en llamadas telefónicas encubiertas bajo encuestas con las que también se podría sacar información personal de la víctima.
Lo principal que cada empresa debería tener en cuenta es contar con un asesor calificado en seguridad informática que pueda brindar a la compañía las herramientas para estar resguardada ante los ataques cibernéticos.
Del mismo modo, por la fragilidad del sistema, es indispensable que los miembros de la compañía reciban capacitación y actualización de calidad en virtud de las mejores prácticas para resguardar la información, así como también saber los protocolos de reacción ante un ataque.
Al vivir en tiempos en los que la tecnología avanza a pasos agigantados no podemos responsabilizar a un empleado por ser víctima de un fraude si como empresa no hemos brindados las herramientas para evitar el delito. La seguridad es una materia obligada para el éxito de las empresas argentinas.
