La Ingeniería Social: cómo intentan engañarte por Internet
La técnica de la ingeniería social es una favorita de los cibercriminales para lograr sacarte datos personales y/o bancarios.
Según la firma de ciberseguridad Symantec, cada usuario de la Red recibe una media de 16 emails basura al mes con código malicioso. Entre los correos más conocidos tenemos el mítico del príncipe nigeriano, un auténtico clásico que data de la época pre-móviles. Y también correos como el no menos famoso de que WhatsApp se va a volver de pago -un clásico que reaparece cada cierto tiempo- o de que hemos ganado un concurso sin haber participado.
Todo esto forma parte del manual de tácticas y engaños que usan los cibercriminales en sus empeños por estafarnos, hackearnos y fastidiarnos la vida online buscando superar la seguridad de cada dispositivo que tenemos en casa, ya sea el móvil, el laptop o incluso el coche inteligente que conducimos
La Ingeniería Social
A estas tácticas y engaños se les conoce como ingeniería social. Mediante esta práctica se consigue obtener información confidencial, acceso a determinados sistemas de información o incluso credenciales a través de la manipulación de los usuarios. Según la OSI, los ciberdelincuentes utilizan la ingeniería social porque es más fácil o “barato” dedicar recursos a engañar a alguien para que revele su contraseña de acceso a un servicio, que vulnerar sus complejos sistemas de seguridad.
De manera sistemática, los ciberdelincuentes que emplean la ingeniería social tratarán de ofrecerte algo que capte tu interés sin que puedas sospechar que ellos están detrás. Pueden incitarte a:
- Abrir ficheros adjuntos
- Se harán pasar por otras personas que te resulten de confianza con el fin de obtener acceso a información privilegiada
- Tratarán de hacerte creer que tu equipo está infectado con malware para ofrecer una solución que supuestamente lo desinfecte.
Ataques de Ingeniería Social
Y es que los ataques de ingeniería social son cada vez más frecuentes y sofisticados, ya que no se trata solo de caer en una trampa, sino de la personalización que los ciberdelincuentes hacen de esta. Por poner un ejemplo, el 93% de las brechas de seguridad comienzan a partir de un correo electrónico.
¿Cómo reconocer una posible estafa, intento de ataque o hackeo por Ingeniería Social? Cualquier consejo o ayuda no solicitada debe tratarse con precaución, especialmente si consiste en "hacer clic en un enlace o descargar algún programa bajo cualquier excusa", ya que probablemente te encuentres ante un intento de fraude por ingeniería social.
Del mismo modo, cualquier petición de tus contraseñas o información financiera es un truco, ya que las instituciones legítimas nunca te pedirían una contraseña a través de correo electrónico, mensajería instantánea, redes sociales, teléfono, etc. A continuación os damos las recomendaciones de la OSI para saber identificar cuándo se está siendo o puede ser víctima de un ataque de Ingeniería Social:
Remitente Desconocido
Si recibes algún mensaje de remitente desconocido, trátalo con especial cuidado, ya que no solamente puede ser un correo con información falsa, sino que puede contener archivos maliciosos adjuntos o enlaces que no son lo que parece ser. Revisa los enlaces a los que te envían sus anuncios antes de clicar sobre ellos.
Falsas Alarmas
Desconfía de los chantajes o extorsiones que puedes recibir telefónicamente o en tu correo. Normalmente buscan captar tu atención con mensajes alarmantes y piden un rescate sobre una supuesta información tuya que realmente no tienen. Suelen venir de remitentes desconocidos.
Ni Microsoft ni Apple van a llamarte
También desconfía si a través de una llamada alguien dice ser el técnico/trabajador de un servicio y bajo cualquier excusa te pide que descargues una aplicación determinada, confirmes datos de tus tarjetas, realices algún pago, etc. No atiendas a sus peticiones y confirma con terceras fuentes de confianza que realmente es quien dice ser.
eMails de entidades bancarias
Como una medida de protección general, debes tener siempre presente que las entidades bancarias nunca solicitan información confidencial por correo electrónico, SMS o cualquier otro canal. Por tanto ojo con los mensajes que parecen de tu banco, pero que realmente no lo son.
Protocolo HTTPS
Al navegar por Internet y acceder a tus webs favoritas, verifica sus características, por ejemplo, asegúrate de que sea una página segura (que comience con https), así como que la dirección del portal pertenezca a la URL de la entidad. Por ejemplo, si el banco X ofrece servicios en línea, y con total seguridad sabes que su dirección web es “www.bancox.com”, no atiendas a peticiones que te redirijan a otras direcciones web que no sea esa.
Una característica del phishing es que páginas auténticas pueden suplantarse con una simple similitud de las palabras (en el caso anterior, la página falsa podría ser www.banncox.com, se ha introducido una n adicional). El simple hecho de que se parezcan la URL falsa y la legítima provoca que muchos usuarios desprevenidos caigan en este tipo de engaños.
Cuidado con tus datos personales
Por desgracia, hoy día decimos demasiadas cosas de nosotros mismos por las redes, y de forma muy ligera. No compartas información de acceso personal por correo electrónico, redes sociales o servicios de mensajería instantánea. Si no aplicas este tipo de medidas, puedes verte con un ataque de ingeniería social destinado a tu información bancaria.