En un sentido más amplio, cualquier tipo de manipulación vinculada a la psicología del comportamiento puede considerarse ingeniería social. Sin embargo, el concepto no siempre está relacionado con actividades delictivas o fraudulentas. De hecho, la ingeniería social está siendo ampliamente utilizada y estudiada en una variedad de contextos; en campos como las ciencias sociales, la psicología y el marketing.
Cuando se trata de seguridad cibernética, la ingeniería social se realiza con motivos ocultos y se refiere a un conjunto de actividades malintencionadas que intentan manipular a las personas para que realicen malos movimientos; como entregar información personal o confidencial que luego se puede usar contra ellos o contra su empresa. El fraude de identidad es una consecuencia común de este tipo de ataques y en muchos casos conduce a pérdidas financieras significativas.
La ingeniería social a menudo se presenta como una amenaza cibernética, pero el concepto existe desde hace mucho tiempo; y el término también se puede utilizar en relación con esquemas fraudulentos del mundo real, que generalmente implican la suplantación de identidad de las autoridades o especialistas de TI. Sin embargo, la aparición de Internet hizo que a los piratas informáticos les resultara mucho más fácil realizar ataques de manipulación en una escala más amplia; desafortunadamente, estas actividades maliciosas también se están produciendo en el contexto de las criptomonedas.
¿Como Funciona la Ingeniería Social?
Todos los tipos de técnicas de ingeniería social se basan en las debilidades de la psicología humana. Los estafadores aprovechan las emociones para manipular y engañar a sus víctimas. El miedo, la codicia, la curiosidad y hasta la voluntad de la gente de ayudar a los demás se vuelven en su contra mediante diversos métodos. Entre los múltiples tipos de ingeniería social maliciosa, el phishing es sin duda uno de los ejemplos más comunes y conocidos.
Phishing
Los correos electrónicos de phishing a menudo imitan la correspondencia de una compañía legítima; como una cadena bancaria nacional, una tienda en línea de buena reputación o un proveedor de correo electrónico. En algunos casos, estos correos electrónicos de clonación advertirán a los usuarios que su cuenta debe actualizarse o que ha mostrado una actividad inusual; requiriéndoles que proporcionen información personal como una forma de confirmar su identidad y regularizar sus cuentas. Por temor, algunas personas hacen clic rápidamente en los enlaces y navegan a un sitio web falso para proporcionar los datos requeridos. En este punto, la información estará en manos de los hackers.
Scareware
Las técnicas de ingeniería social también se aplican para difundir el llamado Scareware. Como su nombre lo indica, scareware es un tipo de malware diseñado para asustar y sorprender a los usuarios. Por lo general, implican la creación de falsas alarmas que intentan engañar a las víctimas para que instalen un software fraudulento que parezca legítimo o para que accedan a un sitio web que infecte su sistema. Una técnica de este tipo a menudo se basa en el temor de los usuarios a que su sistema se vea comprometido, al convencerlo de que haga clic en un banner web o ventana emergente. Los mensajes generalmente dicen algo como: «Su sistema está infectado, haz clic aquí para limpiarlo».
Baiting
El Baiting es otro método de ingeniería social que causa problemas a muchos usuarios desatentos. Implica el uso de cebos para atraer a las víctimas en función de su codicia o curiosidad. Por ejemplo, los estafadores pueden crear un sitio web que ofrezca algo gratis, como archivos de música, videos o libros. Pero para acceder a estos archivos, los usuarios deben crear una cuenta, proporcionando su información personal. En algunos casos, no se necesita una cuenta porque los archivos están directamente infectados con malware que penetrará en el sistema informático de la víctima y recopilará sus datos confidenciales.
Los esquemas de cebo también pueden ocurrir en el mundo real a través del uso de memorias USB y discos duros externos. Los estafadores pueden dejar intencionalmente los dispositivos infectados en un lugar público; por lo que cualquier persona curiosa que los tome para verificar el contenido terminará infectando su computadora personal.
Ingeniería Social y Criptomonedas
Una mentalidad codiciosa puede ser bastante peligrosa cuando se trata de los mercados financieros; lo que hace que los comerciantes e inversores sean particularmente vulnerables a los ataques de phishing, a los esquemas Ponzi o piramidales, y a otros tipos de estafas. Dentro de la industria de blockchain, la emoción que generan las criptomonedas atrae a muchos recién llegados al espacio en un período de tiempo relativamente corto.
Aunque muchas personas no entienden completamente cómo funcionan las criptomonedas; a menudo escuchan sobre el potencial de estos mercados para generar ganancias y terminar invirtiendo sin hacer una investigación adecuada. La ingeniería social es particularmente preocupante para los novatos, ya que a menudo se ven atrapados por su propia codicia o miedo.
Por un lado, la ansiedad por obtener ganancias rápidas y ganar dinero fácil lleva a los recién llegados a perseguir falsas promesas de regalos y airdrops. Por otro lado, el temor de que sus archivos privados se vean comprometidos puede llevar a los usuarios a pagar un rescate. En algunos casos, no hay una infección real de ransomware, y los usuarios son engañados por una falsa alarma o mensaje creado por hackers.
¿Cómo Prevenir Ataques de Ingeniería Social?
Como se mencionó, las estafas de ingeniería social funcionan porque apelan a la naturaleza humana. Usualmente usan el miedo como motivador, instando a las personas a actuar de inmediato para protegerse a sí mismos de una amenaza irreal. Los ataques también dependen de la codicia humana, atrayendo a las víctimas a varios tipos de estafas de inversión. Por lo tanto, es importante tener en cuenta que si una oferta parece demasiado buena para ser cierta, probablemente lo sea.
Aunque algunos estafadores son sofisticados, otros atacantes cometen errores notorios. Algunos correos electrónicos de suplantación de identidad (phishing), e incluso los banners de scareware, a menudo contienen errores de sintaxis o palabras mal escritas y solo son efectivos contra aquellos que no prestan suficiente atención a la gramática y la ortografía; así que mantén los ojos abiertos.
Utiliza las soluciones de autenticación multifactor siempre que puedas para proteger tus credenciales de correo electrónico y otros datos personales. Configura la autenticación de dos factores (2FA) para sus cuentas. Para evitar ser víctima de ataques de ingeniería social, debes considerar las siguientes medidas de seguridad:
- Edúcate tú y a tu familia y amigos. Enséñales sobre los casos comunes de ingeniería social maliciosa e informales sobre los principales principios generales de seguridad.
- Ten cuidado con los archivos adjuntos de correo electrónico y enlaces. Evita hacer clic en los anuncios y sitios web de origen desconocido.
- Instala un antivirus confiable y mantén tus aplicaciones de software y sistema operativo actualizados.
- Utiliza las soluciones de autenticación multifactor siempre que puedas para proteger tus credenciales de correo electrónico y otros datos personales. Configura la autenticación de dos factores (2FA).
- Para empresas: considere la posibilidad de preparar a tus empleados para identificar y prevenir ataques de phishing y esquemas de ingeniería social.
En Conclusión
Los ciberdelincuentes buscan constantemente nuevos métodos para engañar a los usuarios, con el objetivo de robar sus fondos e información confidencial; por lo que es muy importante educarse y educar a los que te rodean. Internet ofrece un refugio para este tipo de estafas, y son particularmente frecuentes en el espacio de la criptomoneda. Ten cuidado y manténte alerta para evitar caer en las trampas de ingeniería social.
Además, cualquier persona que decida tradear o invertir en criptomonedas debe hacer una investigación previa y asegurarse de tener una buena comprensión tanto de los mercados como de los mecanismos de trabajo de la tecnología blockchain.