Ingeniería social

La ingeniería social se refiere a la manipulación interpersonal que los ciberdelincuentes utilizan para obtener acceso a los sistemas informáticos y a los datos sensibles de otras personas. El término procede del inglés «social engineering» y designa la construcción deliberada de una relación interpersonal.

¿Qué significa esto exactamente?

El principio de la ingeniería social no es nuevo. En la vida diaria se conoce con términos como «fraude» y «estafa». Los medios digitales abren nuevas puertas para los delincuentes:

• A través de medios digitales como sitios web corporativos, blogs, páginas de Facebook, etc., los ciberdelincuentes pueden recopilar información detallada sobre una empresa. Con ellos, pueden hacerse pasar de forma creíble por un empleado, un administrador o incluso un ejecutivo (véase el fraude del CEO) de la empresa en cuestión.
• Los ciberdelincuentes pueden utilizar las redes sociales para establecer bajo identidades falsas contactos específicos, por ejemplo, con ejecutivos. En el contexto de una supuesta amistad o romance, intentan que la víctima revele información sensible de la empresa.

La ingeniería social suele explotar la fortaleza humana con fines delictivos. Se aprovechan de cualidades indispensables como la disposición a ayudar, la confianza y el respeto a la autoridad.

• Por ejemplo, los ciberdelincuentes dicen ser un amigo de otro amigo quienes supuestamente recomendaron la víctima como persona de contacto, por ejemplo, para corregir una solicitud. Sin embargo, el documento digital con la supuesta solicitud contiene un programa malicioso como un troyano, ransomware o keylogger.
• Otro método es que se hacen pasar por un superior y ejercen presión, por ejemplo, mediante una orden de transferencia inmediata de una gran suma de dinero a una cuenta específica.

El miedo se utiliza para la ingeniería social. Debido a su fuerte impacto emocional, el miedo disminuye la capacidad de pensar de forma crítica, lo que facilita la manipulación al usuario.

• En el fraude del CEO, por ejemplo, amenazan con consecuencias profesionales negativas si no se aplican las supuestas instrucciones.
• En los intentos de extorsión, los ciberdelincuentes afirman tener datos sensibles de la persona atacada, por ejemplo, fotos o vídeos de actos sexuales. Una vez que la víctima cumple las condiciones de los atacantes, estos destruyen o publican los datos.
• A través de un método similar, los ciberdelincuentes se hacen pasar por policías y exigen una multa por supuestos delitos como descargas ilegales.

Para las empresas, son especialmente relevantes los ataques de ingeniería social a largo plazo contra empleados de importancia estratégica. Puede tratarse, por ejemplo, de un contacto supuestamente privado en cuyo contexto se discute información cada vez más sensible de la empresa. Si la persona atacada sospecha o pierde el interés, los atacantes pueden seguir con el ataque mediante información o datos confidenciales que ya han obtenido.

¿En el trabajo diario, dónde puedo encontrarme con este tema?

En teoría, la ingeniería social se encuentra cuando no se puede confirmar la identidad de un interlocutor con certeza, ya sea por teléfono, por correo electrónico o por mensajes privados.

¿Qué puedo hacer para mejorar mi seguridad?

• En principio, utiliza tus estrategias diarias también en los medios digitales. Las preguntas inusuales, las peticiones inapropiadas, las historias cuestionables o simplemente una impresión general extraña son señales de alerta importantes, independientemente del canal.
• No des nunca contraseñas, información confidencial, etc. por teléfono.
• Pide el nombre completo y el número de llamada, por ejemplo. También puedes preguntar por personas ficticias, por ejemplo, un compañero que no existe o la pareja inexistente del supuesto amigo en común.
• No te dejes presionar. Ni por supuestas limitaciones de tiempo ni por la supuesta confidencialidad. Ni por afirmaciones, amenazas o halagos. Todos estos medios pueden utilizarse específicamente para nublar tu juicio. Crea una situación en la que puedas pensar las peticiones con la cabeza despejada y revisarlas si es necesario.
• Si es posible, verifica la identidad de la persona con la que estás hablando a través de un canal fiable y neutral. Por ejemplo, llama a la sede de tu empresa y pide que te pongan en contacto con el nombre indicado. Esta llamada puede sorprender a dicha persona o demostrar que no hay ninguna persona con ese nombre en la empresa.
• Haz que todos los empleados de tu empresa conozcan los procedimientos de ingeniería social y sus respectivas medidas de protección. Alienta a tu personal a preguntar en los lugares adecuados si recibe instrucciones inusuales. Conciencia a tus superiores de la importancia de estas preguntas de seguimiento, ya que pueden salvar a tu empresa de grandes daños.
• Prepárate para lo peor, es decir, en caso de que un ataque de ingeniería social tenga éxito. Desarrolla ejemplos y acciones que deben tomarse para poder actuar inmediatamente cuando sea necesario. Esto incluye precauciones técnicas, pero también sociales, por ejemplo, puntos de contacto seguros y confidenciales para los empleados que están siendo extorsionados o coaccionados de otro modo.
• Si has sido objeto de un ataque de ingeniería social, informa inmediatamente a los departamentos correspondientes de tu empresa. Existe la posibilidad de que hayas detectado una amenaza persistente avanzada, es decir, un ataque en varias fases dirigido a tu empresa que puede incluir otros vectores de ataque, como spam, keyloggers y ransomware. Tu información puede ser crucial para el éxito de la defensa.

Más información

Información y medidas de la Oficina Federal de Seguridad de la Información (BSI por sus siglas en alemán) sobre el tema de la ingeniería social www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/IT_Sicherheit_am_Arbeitsplatz/SoEng/Social_Engineering.html (información en alemán).