La ingeniería social es una técnica de manipulación psicológica que se utiliza para obtener información confidencial, acceso a sistemas o la realización de acciones específicas por parte de individuos desprevenidos. Asociada con el ámbito de la seguridad informática, esta práctica explota las vulnerabilidades humanas, como la confianza y el deseo de ayudar, para burlar los protocolos de seguridad más robustos. En un mundo cada vez más interconectado, donde la información es poder, la ingeniería social representa un desafío significativo tanto para individuos como para organizaciones. En este artículo vamos a repasar un decálogo de estrategias más importantes, para mitigar sus riesgos.
Mediante el engaño, los ciberdelincuentes pueden pretender conseguir credenciales de acceso, información personal importante y otra, que facilite el acceso a los sistemas, tanto personales como corporativos.
Se ha demostrado que en un alto porcentaje de casos de intrusión, está el factor humano detrás de su éxito. Es decir, personas que no siendo conscientes de ello, han facilitado información vital para la labor de los atacantes. El precio ha pagar por dicho error, en muchos casos, es demasiado elevado, sobre todo cuando hablamos de empresas.
En un artículo reciente, ya repasamos el concepto de Dumpster Diving y cómo se puede conseguir información a través de otra que nosotros dábamos por desechada.
También hemos visto como podemos prevenir un ciberataque, poniendo los medios necesarios que ya explicamos en otro artículo.
Lo cierto es que en nuestros días, una estrategia que está dando muy buenos resultados a los ciberdelincuentes sigue siendo el phising, sobre el que ya hablamos en otro artículo.
Debemos tener muy presente, que las técnicas de engaño se pueden llevar a cabo también, a través de llamadas telefónicas. En nuestros días, teniendo en cuenta también los avances en Inteligencia Artificial, es muy fácil conseguir suplantar cualquier identidad mediante el uso de la voz, por complicado que parezca. Por lo tanto, cuando hablamos de ingeniería social, no debemos limitarnos a mensajes, email, texto, etc. El arte del engaño para conseguir sus objetivos, abarca también a las comunicaciones por voz e incluso mediante videoconferencia, no hay que olvidarlo.
En esta ocasión vamos a repasar una serie de consejos, para mantener la ingeniería social a raya, evitando así poner en riesgo nuestros sistemas, información o la de nuestra empresa. Por lo tanto, nada mejor como repasar el decálogo y lo comentado anteriormente, para detectar los intentos de conseguir el acceso a nuestros sistemas o información personal. Debemos adquirir el hábito de la desconfianza, dado el alto índice de intentos que se producen en todo el planeta a diario y que terminan de forma nefasta para las víctimas.
Usar el sentido común, tampoco nos va a venir mal, para ir un paso por delante de los ciberdelincuentes.
FALTAS DE ORTOGRAFÍA O GRAMÁTICA INCORRECTA
Aunque puede haber excepciones, uno de los síntomas que nos deben hacer reflexionar ante un SMS, mensaje en alguna aplicación de mensajería o email, es el encontrarnos con faltas de ortografía o uso de gramática incorrecta. Palabras, por ejemplo, que no se utilizan en nuestro idioma, pero sí en otras zonas geográficas del planeta.
Comunicación impersonal
Cuando recibimos un mensaje que se dirige a nosotros con términos impersonales como: «Estimado cliente» o «Estimado $nombre». Ello indica que dicho mensaje se ha redactado para su difusión indiscriminada, por lo tanto, debemos sospechar de él. No conocen nuestro nombre, por lo tanto ya empiezan mal a la hora de dirigirse a nosotros y solicitarnos información.
Uso de logotipos ligeramente distintos o con alteraciones
Algo que siempre cuida una empresa u organismo, es su imagen corporativa, por lo que si en un mensaje o correo dirigido a nosotros apreciamos alteraciones en el logotipo, o en la calidad de la imagen, debemos plantearnos que pudiera tratarse de alguien que está suplantando su identidad y que no se ha esmerado mucho en cuidar la imagen corporativa.
Una persona conocida que se expresa de forma poco habitual
Si el mensaje procede de una persona conocida, pero apreciamos que no se expresa como lo hace habitualmente con nosotros o lo hace de forma extraña, debemos sospechar que dicha persona ha sido víctima del robo de su cuenta de correo, redes sociales o mensajería, por lo que quien está redactando el mensaje no es la persona a la que conocemos, sino quien ha usurpado su identidad o cuenta.
En lugar de comunicarnos con ella por el medio que hemos recibido el mensaje, podemos ponernos en contacto usando otro medio, para alertarle o bien comprobar si realmente es ella quien está contactando con nosotros.
Comprobación del remitente
Sobre todo, cuando recibimos un mensaje de correo electrónico, es muy importante comprobar el remitente y asegurarnos que es quien pretende hacernos creer.
No es lo mismo recibir un mensaje de clientes@telfonica.com, que si lo recibimos de clientes@telefonica.es.
Cualquier alteración ortográfica en la dirección del remitente, es motivo suficiente para hacernos sospechar y no abrir el mensaje o pinchar en enlace alguno que contenga.
Pasar el ratón sobre el enlace o archivo y comprobar a qué dirección apunta
Cuando recibimos un correo que contiene un enlace a una web, podemos pasar el puntero del ratón por encima, sin hacer clic en él y podremos comprobar en la parte inferior izquierda de la pantalla a qué dirección web apunta. Debe ser la que esperamos y no otra que no guarde relación alguna.
Cuando nos encontramos con enlaces acortados, podemos hacer uso de un desacortador de enlaces web de los muchos que podemos encontrar en Internet, así como también extensiones para nuestro navegador, para comprobar que el enlace corresponde a una web confiable. Con sólo copiarlo y pegarlo en dicha herramienta web, estaremos comprobando si hay intenciones maliciosas o no.
También debemos extremar las precauciones con los archivos comprimidos. Un archivo comprimido como nominas.zip, puede contener las nóminas que habíamos solicitado, sin embargo un archivo nombrado como nominas.zip.exe, lo que puede contener es una archivo ejecutable, que cuando intentemos su descompresión, nos instale algún malware en nuestro dispositivo.
Con los archivos adjuntos, ocurre lo mismo que con los enlaces web, al posicionar el puntero del ratón sobre ellos, nos indican el nombre completo y extensión del archivo.
Contar con una extensión en nuestro navegador, para comprobar la fiabilidad de un archivo antes de su descarga, como la de Virus Total, que también cuenta con rastreador de páginas web en su versión web, nos puede resultar de gran ayuda.
Generación de emociones, urgencia, miedo o algo demasiado bueno
Cuando recibimos un mensaje o correo, que nos apremia para realizar una acción, nos transmite miedo, amenazas o resulta a simple vista ser demasiado bueno para ser verdad, debemos sospechar de él.
Esta es la táctica más frecuente utilizada por los ciberdelincuentes, ya que con estas acciones pretenden dejarnos el mínimo tiempo posible para pensar y reflexionar sobre la conveniencia de pinchar en un enlace, abrir un archivo o realizar la acción que nos invitan a llevar a cabo.
No pinchar en adjuntos, ventanas emergentes o enlaces de dudosa fiabilidad
Como ya se dijo al principio, debemos aprender a ser recelosos con todo aquello que nos llega, sobre todo sin haberlo solicitado. Por ello, hasta tener la completa seguridad, no deberemos pinchar para abrir archivos adjuntos, ventanas emergentes, enlaces o facilitar información personal mediante formularios que pueden estar facilitando dicha información a terceros malintencionados.
Sospechar de páginas web que alertan sobre la necesidad de instalar o actualizar antivirus u otras aplicaciones
En muchas ocasiones, podemos visitar una web en la que nada más entrar, nos alerta de que nuestro equipo sufre una vulnerabilidad, nuestro antivirus está desactualizado o nos sugiere la instalación de una aplicación. Debemos desconfiar de dichas webs, abandonarlas y extremar las precauciones, no pinchando sobre dichos banners o ventanas emergentes.
Si sospechamos de algún mensaje o correo
Ninguna empresa seria u organismo, nos va a enviar mensajes mediante los cuales nos solicite información, que presuntamente ya deberían conocer. En caso de duda, debemos ponernos en contacto por otros medios que no sea el mensaje recibido con dicha entidad u organismo, para comprobar si se trata de un fraude, que será lo más normal.
CONCLUSIÓN
En conclusión, la ingeniería social representa una amenaza significativa para la seguridad personal y organizativa, explotando las vulnerabilidades humanas para obtener el acceso no autorizado a información confidencial. Para contrarrestar esta amenaza, es esencial adoptar un enfoque multifacético que incluya educación y concienciación continua, políticas de seguridad robustas y la implementación de medidas técnicas. La capacitación regular de los empleados sobre los tipos de ataques de ingeniería social y las tácticas utilizadas por los atacantes puede fortalecer la primera línea de defensa: el factor humano.
No podemos limitar nuestra defensa a la ingeniería social que usa mensajes de texto, email, etc. Se debe ampliar la desconfianza a las comunicaciones por voz o videoconferencia, ya que son muchos y variados los medios, mediante los cuales los ciberdelincuentes pueden intentar poner en práctica el intento de engaño, para conseguir sus fines.
Las organizaciones deben fomentar una cultura de seguridad donde se acentúe la precaución y facilite la comunicación sobre incidentes sospechosos. Las herramientas tecnológicas como el filtrado de correo electrónico, la autenticación multifactor y los sistemas de detección de intrusiones juegan un papel crucial en la detección y prevención de intentos de ingeniería social. Manteniéndose vigilantes y proactivos, individuos y organizaciones pueden reducir significativamente el riesgo de ser víctimas de la ingeniería social y proteger sus activos más valiosos.
STI 2020 ® 
Replica a Ciberdelitos en 2025: cómo protegernos de las Nuevas Estafas – SOLUCIONES TI 2020® Cancelar la respuesta