Ingeniería social: la estrategia detrás de los ciberataques

El uso generalizado de internet y el exponencial crecimiento de la digitalización de los sectores económicos, trajo aparejado el aumento de nuevos esquemas de fraude y estafas. Diversos casos demuestran que, incluso las organizaciones y las personas que tienen defensas sofisticadas pueden ser víctimas de ataques de ingeniería social. Por eso, desde PAGOS360 consideramos indispensable concientizar sobre la importancia de conocer cómo proteger y mantener resguardados los datos sensibles y confidenciales.

¿Qué es un ataque de ingeniería social?

Se denomina ataque de ingeniería social a las diferentes técnicas psicológicas y sociales de manipulación que utilizan los ciberdelincuentes para obtener información confidencial y así suplantar la identidad de la persona engañada.

Para lograr su cometido, los ciberdelincuentes intentan generar confianza en sus víctimas. Se hacen pasar por representantes de empresas conocidas, como tu banco o tarjeta de crédito, familiares, compañeros de trabajo o una figura de autoridad. En otros casos, apelan al miedo para simular que ocurre un problema grave que requiere tu acción inmediata, por ejemplo, que tu cuenta será suspendida o que tu tarjeta será bloqueada si no compartís ciertos datos. Otro de los métodos es el de ofrecer incentivos como premios falsos o promociones únicas y limitadas.

En general, todos estas formas de manipulación se plantean con cierto sentido de urgencia, evitando que la víctima reflexione con claridad.

¿Cuál es la técnica de ingeniería social más utilizada?

Si bien las técnicas de ataque son muy variadas y sofisticadas, el tipo más habitual de ataque es el phishing. El término phishing proviene de la palabra "fishing" (pesca en inglés), que hace alusión a los mensajes falsos que los ciberdelincuentes utilizan como anzuelo, haciéndose pasar por un banco, empresa u otra organización real para “pescar” contraseñas, datos de tarjetas o datos personales valiosos.

El phishing se puede clasificar según el medio que se utiliza para llevar adelante el ataque, los más frecuentes son:

• Email phishing: se refiere al envío masivo de mensajes por correo electrónico que incluyen enlaces camuflados a sitios maliciosos.
• URL phishing: los ciberdelincuentes hacen que la URL de un sitio malicioso parezca la de un sitio confiable.
• Smishing: se produce a través de mensajes de texto ya sean por SMS o mensajería instantánea, por ejemplo, por WhatsApp.
• Vishing: ocurre a través de llamadas telefónicas.

¿Cómo nos protegemos de los ataques de ingeniería social?

Ya que el objetivo de estos ataques es engañar, la recomendación general consiste en mantenerse alerta ante cualquier aspecto que pueda generar una sospecha.

Un buen ejercicio es evaluar si se trata de una situación realista: ¿Qué tan posible es que un príncipe te haya dejado su herencia y te lo comunique por email? ¿Te llamaría tu banco solicitando los datos de tu cuenta? Asimismo, los ciberdelincuentes esperan que sus objetivos no reflexionen demasiado sobre lo que está sucediendo. Por eso, el mero hecho de tomarte un momento para pensar puede permitirte reaccionar a tiempo.

Si bien existe una gran cantidad de medidas para evitar estos ataques, desde PAGOS360 te sugerimos:

• Comprobar si la dirección web (URL) es igual a la de la empresa que te escribe. Los email phishing suelen incluir una URL que imita a la del sitio web de una empresa, donde la clonación es muy sutil: puede tratarse, por ejemplo, de un simple cambio como reemplazar el cero (0) por una o en “pagos36o.com”. Por eso, ante la duda, te servirá hacer una búsqueda de la empresa acreditada y comparar las URL.
• Chequear el remitente antes de abrir cualquier correo electrónico. Observá cuál es la dirección completa y comparala con los mensajes anteriores de tu banco o servicio.
• Sospechar de los correos electrónicos que te invitan a hacer clic, una llamada telefónica o abrir un archivo adjunto de inmediato.
• Nunca brindar datos personales o financieros a terceros. Las empresas del sector bancario o proveedoras de servicios públicos no te solicitarán este tipo de datos por medio de correo electrónico, SMS, mensajería instantánea o llamada telefónica.
• Revisar constantemente los resúmenes de tarjeta de crédito o de movimientos de cuenta puede alertarte sobre cualquier irregularidad. Recordá que podés suscribirte a los servicios de alerta de consumo de tus tarjetas de crédito ingresando a los servicios de Visa Home y/o MasterConsultas.
• Crear contraseñas seguras y verificar la fortaleza de las actuales. Para ello, podés usar la herramienta que ofrece security.org. También es aconsejable cambiarlas con cierta periodicidad.
• Configurar la autenticación de dos pasos, siempre que sea posible, para que el hecho de conseguir tu contraseña no sea suficiente para acceder a tus cuentas. El segundo factor puede ser desde códigos de confirmación enviados por SMS hasta tokens dinámicos.
• Proteger con PIN, patrón o huella dactilar aquellas aplicaciones que contengan información personal o financiera.
• Mantener tu sistema operativo, antivirus y navegador de internet actualizado.

La ingeniería social es muy peligrosa porque parte de situaciones cotidianas y las manipula con fines delictivos. Pero comprendiendo bien cómo funciona y tomando ciertas precauciones es poco probable que te conviertas en una víctima.