Cuatro ejemplos reales para entender el poder de la ingeniería social

Cuando se habla de seguridad informática, seguro que muchas veces has oído aquello de que el principal fallo de seguridad o debilidad del sistema se encuentra detrás del teclado. Somos nosotros, en muchos casos, los que decidimos ejecutar esa aplicación que nos ha llegado por correo electrónico, que parece un PDF, pero que sin embargo no reconoce nuestro aplicación para leer documentos con este formato. Esto se debe al poder que la ingeniería social ejerce sobre nosotros.

Podríamos decir que la ingeniería social es el conjunto de técnicas que se utilizan para ganarse la confianza de los usuarios, aprovechando los errores humanos para comprometer la seguridad de los sistemas. En definitiva, se trata de engañar y confundir al usuario para que acabe haciendo algo que realmente no quiere hacer, como ejecutar un programa, facilitar sus claves bancarias o acceder a determinados servicios, entre otros.

Cómo funciona la ingeniería social

confianza-usuarios

La ingeniería social se basa en cuatro principios básicos que aprovechan la confianza de los usuarios para realizar acciones que no desean. Son los siguientes:

  • Todos queremos ayudar. El ejemplo más sencillo serían los correos de cadena, en los que se animaba a donar dinero para salvar a un niño enfermo o similares, que ahora también se propaga por las redes sociales más que por correo electrónico.
  • El primer movimiento es siempre de confianza hacia el otro, aunque es cierto que la gente suele desconfiar más en Internet. Para ello, se cambian los remitentes para que resulten de confianza para los usuarios, como un paquete para recoger en correos, una notificación para ver el estado de la declaración de hacienda, etc.
  • No nos gusta decir No, de manera que, en lugar de no ejecutar la aplicación que nos va a mostrar cómo está nuestra devolución de la renta, por ejemplo, acabamos por hacerlo, poniendo en riesgo la seguridad de los sistemas informáticos de nuestra empresa u hogar.
  • A todos nos gusta que nos alaben, que nos regalen los oídos y adulen, lo que al final logra crear simpatía entre el atacante y el usuario, que acabará por hacer lo que no debe o revelar información que debería ser confidencial.

Técnicas de la ingeniería social

phising

Existen multitud de vectores de ataque que utilizan la ingeniería social; el phishing o el baiting están entre los más comunes. El phishing es una de las técnicas más utilizadas. Se emplea la ingeniería social para engañar al usuario suplantando la identidad desde un dominio que puede ser de confianza, como nuestro banco y tratar de “pescar” nuestras credenciales de acceso. Puede utilizar como vector de ataque el correo, las redes sociales o incluso aplicaciones de mensajería.

En el caso del baiting se abandonan dispositivos como memorias USB con la intención de que alguien las encuentre y conecte a sus equipos. Es en ese momento cuando se produce la infección. De esta forma se propagó el virus Stutnex en las centrales nucleares de Irán, para entorpecer el programa de enriquecimiento de uranio.

No hay que dejar pasar por alto la codicia de los usuarios. Es el caso de la estafa del príncipe nigeriano, en la que, haciéndose pasar por amigos de tus amigos, lo que buscan es que acabes entregando un dinero a cambio de la promesa de multiplicarlo en el futuro.

Los virus por correo electrónico

correo ingeniería social

El correo electrónico sigue siendo uno de los medios más habituales para aprovechar la ingeniería social. Nos llegan los mensajes desde dominios conocidos y en los que confiamos, incluso remitentes que pueden ser amigos o familiares previamente infectados. Un ejemplo sería virus de Correos que propaga ransomware.

En el caso del virus de la Policía, los atacantes utilizaban el miedo de los usuarios avisando de que se había detectado el acceso a contenidos ilegales, pedófilos, imágenes violentas, etc. Muchos usuarios reconocían haberse infectado después de visitar páginas de dudosa reputación.

Pero están en constante evolución. Ante un ataque de ingeniería social lo único que sirve es la formación.

La ingeniería social llega a WhatsApp: el timo de Mercadona

whatsapp

En otras ocasiones el vector de ataque es el smartphone y las aplicaciones de mensajería instantánea. El objetivo es el robo de datos financieros y personales, utilizando la técnica de phishing. Mercadona es la empresa que sirve para ganarse la confianza del usuario. También ha aparecido el mismo gancho en redes sociales.

La ingeniería social y su uso en política

Pero este aspecto no sólo se usa en la seguridad informática, sino que también se ha hecho en política a lo largo de la historia. El profesor Chomsky destaca las técnicas de manipulación como la estrategia de la gradualidad, usar el aspecto emocional en los argumentos, crear problemas y luego ofrecer soluciones, reforzar la auto-culpabilidad, la estrategia de diferir una decisión entre otras.

Se pueden encontrar múltiples ejemplos a lo largo de la historia en gobiernos de tipo totalitarios como los surgidos a lo largo del siglo XX, nacismo, fascismo o comunismo, pero también en populismos radicales que nacen en las democracias. El objetivo es esencialmente el mismo, obligar a los ciudadanos a hacer algo que realmente no desean.

En Nobbot | Siete ‘epics fails’ de seguridad informática que se recordarán a lo largo del tiempo
Imágenes | geralt 1, 2 | Anton | kheinz | TheDigitalWay