¿Qué es realmente la Ingeniería Social?

Ella es bonita, soltera y sus mensajes son tan atractivos como su cabello rubio. Y antes de que el destinatario de su solicitud de amistad en Facebook lo sepa, se están escribiendo una serie de breves mensajes burlones entre sí. Y correos electrónicos largos y muy íntimos algunos días. De hecho, es una locura cuánto tienen en común él y su amigo accidental en línea. Se siente seguro y bien comprendido por primera vez en años, aunque nunca se conocieron en persona. El destino une a algunas personas y otras son engañadas por un estafador. Eso es lo que se llama ingeniería social.

Sin que las víctimas lo piensen por un momento, revelan información confidencial sobre su trabajo o transfieren dinero a personas que en realidad no conocen. La ingeniería social lleva a las personas a hacer felizmente cosas que de otro modo nunca harían. Sin embargo, contrariamente a las expectativas, la ingeniería social no es una técnica de motivación, sino una forma de fraude particularmente refinada. Te explicamos qué es la ingeniería social, a quién puede afectar y cómo puedes protegerte contra ella.

¿Cómo surgió la ingeniería social?

La idea de la ingeniería social provino originalmente de la filosofía. Karl Popper acuñó el término en 1945 y con esto se refería inicialmente a elementos sociológicos y psicológicos para mejorar las estructuras sociales. El principio de Popper se basó principalmente en el supuesto de que las personas pueden optimizarse como maquinaria. En la década de 1970, los sucesores de Popper ampliaron su teoría para incluir ciertos tipos de engaños psicológicos. Sin embargo, su objetivo inicial no era el robo de datos, querían instar a las personas a una mejor interacción y una mayor conciencia sobre la salud. De hecho, esto implicó manipulación, pero con un objetivo diferente. Hoy en día comúnmente nos referimos a la ingeniería social como una forma fraudulenta de manipulación subliminal.

¿Cómo funciona la ingeniería social?

Algunos piratas informáticos se centran en la manipulación psicológica dirigida en lugar de confiar en métodos puramente técnicos.

Aunque los métodos siguen siendo fieles a sus raíces filosóficas, los motivos de los ingenieros sociales han cambiado significativamente. Cualquiera que entienda qué es lo que mueve a las personas puede manipularlas específicamente con un poco de instinto y con un poco más de intención criminal. A menudo, los estafadores asumen el papel de un conocido o comerciante de confianza, o pretenden ser de un banco o incluso del cuerpo de bomberos. Los perpetradores se ganan la confianza de esta manera y, a menudo, también los datos confidenciales.

En resumen, los ingenieros sociales intentan explotar a las personas para sus propios fines. Uno de los ingenieros sociales más conocidos es el hacker Kevin Mitnick. A través de la gran cantidad de intrusiones en las computadoras de otras personas, Mitnick se convirtió rápidamente en una de las personas más buscadas en los Estados Unidos. Se dice que ha penetrado cientos de veces en algunas de las redes mejor seguras de Estados Unidos; supuestamente también espió al Departamento de Defensa e incluso a la NSA. En su libro “El arte del engaño”, Mitnick escribe que la ingeniería social es una forma significativamente más rápida de obtener la información que desea que los métodos puramente técnicos. En lugar de desarrollar software espía, Mitnick programó la voluntad de sus semejantes.

¿Cómo es la ingeniería social en Internet?

En la era digital, los estafadores también están usando esta táctica en Internet. A menudo, todo comienza con un correo electrónico o, a veces, un mensaje a través de una red social. El clásico es el correo electrónico de phishing que atrae a las personas a un sitio web falso perfecto. Cualquiera que ingrese sus datos allí, los transmite directamente a los delincuentes. A veces, los ciberdelincuentes también juegan con la curiosidad de sus víctimas y envían correos electrónicos con un enlace que supuestamente conduce a un saludo de un conocido. Pero en lugar de un mensaje agradable, una descarga de malware espera al usuario después de hacer clic en él.

Ejemplo: Robin Sage

Un ejemplo destacado de ingeniería social a través de las redes sociales es el caso de Robin Sage. Sage era joven, atractivo y completamente inventado. En 2010, el experto en TI de EE. UU., Thomas Ryan, creó un perfil en las redes sociales con una foto y los intereses de una atractiva joven llamada Robin Sage. La figura ficticia de Ryan hirió sistemáticamente a figuras militares, industriales y políticos alrededor de su dedo y extrajo información confidencial y altamente sensible de ellos. Al hacerlo, ninguno de los afectados conoció a Sage en persona. Solo a través de las redes sociales, Ryan envió el tipo de mensajes creíbles y tentadores que no daban a sus víctimas ningún motivo de duda, y charlaban libremente. Sin embargo, para Ryan se trataba menos de la información revelada. Quería exponer a las personas como un agujero de seguridad, lo que logró de manera impresionante.

¿Qué significa “piratería humana”?

Debido a que los ingenieros sociales han reconocido que la capacidad de influir en las personas es un agujero de seguridad, los expertos en TI también hablan de piratería humana. Esto significa que las mentes de las personas son pirateadas en lugar de una computadora, y la información que en realidad no tenían la intención de revelar se elimina sin que se den cuenta. Además, también pueden ser atraídos mediante la manipulación para hacer cosas que en realidad no deberían haber hecho. En pocas palabras, las personas son un riesgo de seguridad que debe tomarse en serio. Mientras que los antivirus y los cortafuegos puede proporcionar un sistema de TI con muy buena protección, los usuarios aún pueden ser manipulados. La Oficina Penal de la Policía Federal Alemana habla por tanto de “vulnerabilidad humana”. Si bien una computadora funciona de manera completamente racional, las personas también se guían por sus emociones. Muchos investigadores piensan que casi el 80 por ciento de todas las decisiones que tomamos se basan en sentimientos. Esto significa que nuestro razonamiento tiene poco que decir, si es que tiene alguno, en la mayoría de los casos. Y esto es precisamente lo que explota la piratería humana.

¿A quién amenaza la ingeniería social?

Por esta razón, la ingeniería social aparece allí donde las personas son la clave del dinero o la información de interés. Por tanto, las instituciones y autoridades nacionales, así como las empresas o los particulares, pueden ser manipulados y espiados. Según una investigación de la asociación de la industria de TI Bitkom, el espionaje industrial digital, el sabotaje y el robo de datos cuestan a las empresas alemanas alrededor de 51.000 millones de euros en pérdidas cada año. El 19 por ciento de las empresas encuestadas han informado que la ingeniería social es un factor aquí. Además del dinero, no es raro que se divulguen ideas o datos confidenciales. Nada de esto sucede cuando el divulgador sospecha de algún tipo de fraude.

¿Por qué la gente es engañada por los estafadores?

En vista de las sumas a veces asombrosas con las que los estafadores engañan a la gente, es necesario hacer una pregunta y responder: ¿Qué causa que la gente sea engañada de esta manera? Para empezar, no es necesario ser ingenuo para convertirse en víctima de la ingeniería social. En 2015, un escolar estadounidense hizo creer a varios agentes de la CIA que era un experto en TI y, como resultado, se apoderó de importantes datos de acceso. Tuvo acceso a la cuenta de correo electrónico del director de la CIA durante tres días. La ironía aquí es que, a diferencia de la Agencia de Seguridad Nacional (NSA), uno de los puntos focales de la CIA es adquirir información de la gente. En consecuencia, los agentes de la CIA están muy familiarizados con el principio de ingeniería social.

¿Qué mecanismos psicológicos se esconden detrás de esto?

Que la ingeniería social pueda tener tanto éxito se debe a la relativa previsibilidad del pensamiento y el comportamiento humanos. La ingeniería social explota principalmente características básicas específicas. En un estudio, los psicólogos Myles Jordan y Heather Goudey filtraron 12 factores que sustentan las instancias más exitosas de ingeniería social entre 2001 y 2004. Estos incluyeron inexperiencia, curiosidad, codicia y la necesidad de amor. Estas son emociones y características personales muy básicas y, a veces, incluso pueden reforzarse mutuamente. Esto facilita las cosas a los perpetradores. Una base importante para la ingeniería social es que las personas se apoderan de sus emociones y la razón no participa en la toma de decisiones.

Ejemplo: la estafa de la novia rusa

Esto se vuelve especialmente claro con el ejemplo de la estafa de las novias rusas, dirigida a hombres solteros en Europa occidental y central. En los correos electrónicos no deseados, las jóvenes rusas, por lo general muy atractivas, atraían a los hombres para que les enviaran bienes o dinero extranjero, o para que se reunieran con ellos. Con la esperanza de una gran aventura amorosa, o al menos una aventura rápida, los hombres, sin saberlo, se volvieron parte de operaciones de contrabando y lavado de dinero. Muchas víctimas han perdido todo su dinero de esta manera.

Solicitudes como “Solo puedo visitarlos si tengo los papeles adecuados, pero todos aquí son corruptos. Envíame dinero para los documentos y los abogados ”son utilizados por los perpetradores para abrirse camino directamente en las billeteras de las víctimas. Posteriormente también piden dinero para el viaje o ropa nueva. Explotan los activos de sus víctimas hasta que sospechan o se quedan sin fondos. Sin embargo, no solo las fotografías de las mujeres jóvenes, sino también su propia existencia, es a menudo un engaño. En lugar de una chica rusa que quiera casarse, los remitentes de los atractivos mensajes suelen ser hombres de todas las edades de una amplia gama de países.

¿Qué saben los atacantes sobre las posibles víctimas?

Los estafadores proceden de formas muy diferentes para convertir a alguien en cómplice involuntario. Y su conocimiento de la futura víctima varía. Con el spam convencional, los estafadores no saben nada sobre sus víctimas. Este método se basa exclusivamente en correos electrónicos masivos y funciona como una red de arrastre masiva. Con un gran número de destinatarios, es muy probable que los perpetradores atrapen a algunas víctimas. Por otro lado, otros métodos recuerdan más a la pesca con caña de una especie de pez en particular, de manera dirigida y con conocimiento de qué cebo tomará el pez. Estas actividades especializadas de phishing también se denominan “spear phishing”, ya que los perpetradores buscan específicamente a sus víctimas, como ocurre con la pesca submarina. Si el pez es algo más grande, por ejemplo, un empleado de alto rango en una empresa internacional, los expertos también hablan de “caza de ballenas”.

¿Cómo encuentran los perpetradores información sobre sus víctimas?

Una mezcla de esfuerzos en línea y fuera de línea se llama “buceo en contenedores”. Los estafadores buscan entre la basura del objetivo para averiguar lo más posible sobre sus hábitos, intereses y situación de vida. Pañales para bebés, cajas de medicamentos, cajas de pizza, papeleo desechado: los ingenieros sociales pueden deducir información importante de esas aparentes nimiedades. Mucho más agradable que hurgar en montones de basura es investigar a las personas en las plataformas de redes sociales. Los usuarios irreflexivos presentan sus personalidades a los perpetradores en bandeja de plata, en publicaciones públicas, me gusta o fotos, y facilitan a los estafadores congraciarse con ellos a través de similitudes falsas.

¿Cómo puedo protegerme de la ingeniería social?

  • Redes sociales : Pensar en qué tipo de contenido privado compartir y qué no es el primer paso y el más crítico.
  • Correo electrónico : puede protegerse de la manipulación abierta actuando con precaución. Por ejemplo, si no conoce al remitente de un correo electrónico y no está seguro de cómo el remitente obtuvo su dirección de correo electrónico, esto es una señal de alerta. En caso de duda, comuníquese con el remitente por teléfono y pregúntele sobre el mensaje que recibió.
  • Teléfono : Lo mismo ocurre con las personas que lo llaman: si no conoce a esa persona, no dé ninguna información confidencial por teléfono.
  • Enlaces : no abra ningún enlace que pretenda llevarlo a un inicio de sesión en un sitio web, sin importar lo que diga el mensaje. Idealmente, tiene marcadores para sus sitios web importantes, como portales bancarios o comerciales. Utilice sus marcadores para abrir la página de inicio de sesión. De qué manera, los intentos de fraude y los inicios de sesión falsos se hacen evidentes muy rápidamente.
  • “¡Felicitaciones, has ganado!”: Si te prometen un premio o grandes sumas de dinero, usa tu sentido común. La gente no suele regalar cosas, especialmente a extraños al azar. No reaccione a mensajes de texto, correos electrónicos o llamadas telefónicas.
  • Software de seguridad : al filtrar el correo no deseado y al usar una protección confiable contra el phishing, puede minimizar el riesgo de ser víctima de cualquiera de esas estafas.

Enlace: https://www.gdatasoftware.com/guidebook/what-actually-is-social-engineering Blog de G DATA