Se podría definir la ingeniería social como el acto de manipular a una persona o grupos humanos a través de técnicas psicológicas y habilidades sociales para cumplir metas específicas, pudiendo ser o no del interés de la persona o grupo humano objetivo.
El tema es amplio y en la actualidad estamos inmersos en un amplio proceso que posiblemente tiene como fin último un profundo cambio social a nivel mundial. La ingeniería social basa su comportamiento en una premisa básica: es más fácil manejar a las personas que a las máquinas.
La clave es ser creíble, trasmitir confianza, estar en el momento y en el lugar adecuado y empezar a utilizar la “magia”.
Ciclo de vida de un ciberataque de ingeniería social.
Hay que ser muy consciente que el ciber atacante siempre llevará la iniciativa, ya que él (o ellos) saben a quién, como, cuando y donde. Por lo tanto, lo único que podemos hacer es cerrar al máximo las posibilidades de un ciber ataque. En un ciber ataque de social se pueden distinguir 4 fases que se producen de forma consecutiva.
En la primera fase o de Recolección de información, el atacante investiga y recolecta toda la información de la posible víctima, con el objetivo de conocer sus datos y relaciones, con alguna de la información que pueda lograr recolectar que sería, por ejemplo: Números de teléfono, correo, dirección, lista de amigos y lugares frecuentados recurrentemente.
Una segunda fase es el Desarrollo de la relación: Con la información anterior ya recolectada, el atacante iniciará una relación más cercana con la víctima, la relación construida determinará el nivel de contribución de la víctima y por ende ampliará el porcentaje del ataque con éxito.
La tercera fase es la de la Manipulación: En esta fase el atacante toma la información recolectada y lograda en las dos fases anteriores y emplea una manipulación psicológica, con el objetivo de tener un acercamiento más a la víctima e indagar y obtener información confidencial aparentemente sin importancia o el acceso concedido y/o transferido al atacante.
La última fase es la Salida: En esta fase el atacante alcanza el objetivo final del ataque, y lo hace sin levantar sospechas de lo acontecido, intentará poner fin al ataque sin cuestionar lo sucedido, ya que si lo hace posiblemente la victima sospechará. Además, deja la impresión de haber hecho algo bueno por la víctima, dejando la puerta abierta para futuros acercamientos.
Los medios de propagación son los canales más usados por los atacantes para llevar a cabo los métodos de ingeniería social. Los distintos medios de propagación de la ingeniería social son: el correo electrónico, las redes sociales, las llamadas telefónicas, los SMS o las infecciones de malware.
Tipos de ataques de ingeniería social informática.
Pretexting: Consiste en crear elaborar un escenario o historia ficticia, donde el atacante tratará de que la víctima comparta por teléfono información que, en circunstancias normales, no revelaría.
Por ejemplo, podrían hacerse pasar por un banco pidiendo información al cliente para poder comprobar su identidad o resolver alguna incidencia.
El modus operandi de estos hackers pasa por realizar una labor de recopilación de información suficiente antes de llamar al servicio de atención al cliente correspondiente (nombre y apellidos, domicilio, DNI, número de teléfono, etc.) para obtener aquellos datos personales que te hagan creer que está hablando con el servicio en cuestión. Mucha de esa información a veces el propio usuario lo ha publicado en redes sociales, CVs, etc.
A nivel personal, es importante tener cuidado cuando alguien que ha iniciado contacto contigo comienza a solicitar información personal. Recuerda, tu banco ya sabe todo lo que necesita saber sobre ti, no debería necesitar que les diga tu número de cuenta. Si sospecha de una conversación con una institución, cuelga y llama a su número de teléfono disponible al público o escribe a una dirección de correo electrónico desde su página web.
El consejo para evitarlo es: “Verifica con quien hablas por teléfono”
Baiting: Consiste en un ataque informático de ingeniería social en el que el atacante presenta una oportunidad tentadora, ya sea para obtener un beneficio o por simple curiosidad, y la usa para atraer a la víctima a sufrir un ataque. Básicamente consiste en poner un cebo para atraer a la víctima hacia una trampa.
Este ciberataque consiste en dejar abandonado un dispositivo de almacenamiento extraíble (ya sea un USB, CD, DVD o móvil) infectado con un software malicioso en algún lugar a la vista para tentar a la víctima a cogerlo y ver lo que contiene. Una vez que lo ejecuta en su ordenador, el malware hará su trabajo.
La forma de evitarlo es no confiar en dispositivos encontrados o proporcionados por desconocidos. Muchas veces tener actualizado un buen antivirus puede no ser suficiente para evitar la infección. Los malos siempre van un paso por delante de las compañías y proveedores de ciberseguridad.
Phishing: Envío masivo de correos con archivos maliciosos o enlaces falsos a webs de los atacantes para obtener información confidencial.
Ya en un artículo publicado el 17 noviembre de 2021 en esta revista hablé ampliamente sobre esta ciberestafa. Por si te interesa el tema amable lector, te dejo el enlace: https://adelanteespana.com/el-phishing-una-ciberamenaza-muy-actual-albert-mesa
Smishing: Envío de SMS con enlaces maliciosos para obtener información privada de la víctima. Se trata de una variante de phishing. Las precauciones para tomar para no caer en esta estafa son las mismas que en el phishing.
Vishing: Es una práctica fraudulenta que consiste en el uso de la línea telefónica convencional y de la ingeniería social para engañar personas y obtener información delicada como puede ser información financiera o información útil para el robo de identidad. De hecho, podríamos decir que es la variante de voz del smishing.
La forma más efectiva de evitar el vishing es no facilitar ninguna información personal ni bancaria a través del teléfono cuando recibas una llamada, especialmente las claves únicas que recibas por SMS. Tanto el banco como la compañía telefónica disponen de la información necesaria para realizar las gestiones, por lo que no es necesario que se la proporciones de nuevo a quien está llamando. Ante cualquier sospecha cuando recibas una llamada alertándote sobre un fraude, lo primero que debes hacer es ponerte en contacto con el banco a través de otro medio para verificar la veracidad de la información. Por otro lado, si la llamada es para que te pongas en contacto con otro número de teléfono, no llames a ese número.
Entran también en esta categoría los secuestros virtuales o estafas de donación.
Sextorsión: Amenazar a la víctima con no publicar imágenes comprometidas a cambio de dinero.
Se estima que las víctimas de este ciberdelito son en el 70 % adolescentes, puesto que en gran mayoría son usuarios de redes sociales tales como TikTok, WhatsApp y otras donde pueden compartir fotos, videos o conversaciones con desconocidos y que pueden tener contenido sexual.
Es en la preferida por las redes de la pederastia. En muchas ocasiones el daño que produce va mucho más allá de lo económico y se han dado casos de suicidio del menor al no poder afrontar la situación con sus tutores y satisfacer las demandas de los chantajistas.
Una forma de intento de sextorsión que se ha dado desde hace algún tiempo es un correo electrónico en el que se comunica al usuario que el ciberdelincuente ha instalado en tu ordenador un malware, como resultado de tu visita a ciertas páginas web de contenido pornográfico, por el que tiene acceso a tu webcam.
El chantajista afirma que ha logrado grabarte mientras te masturbabas asociando a esta grabación capturas de pantalla de la página que estabas visitando.
La amenaza es que si no pagas una cierta cantidad (normalmente en bitcoins) hará pública dicha grabación e imágenes en tus redes sociales, puesto de trabajo, etc.
En la mayoría de los casos se trata de envíos de correos electrónicos masivos tipo phishing a los que no hay que hacer el más mínimo caso. No es oportuno responder al correo electrónico y mucho menos pagar al chantajista. En el caso de ser cierta la amenaza, DENUNCIAR.
Una vez hecho el primer pago, nada indica que el chantajista se dé por satisfecho y el chantaje puede continuar hasta el infinito.
¿Cómo afrontar una sextorsión?
Como apuntaba en el párrafo anterior la regla general es DENUNCIAR y seguir las indicaciones de las autoridades. A pesar de que en España no es delito pagar rescates ni nunca ha estado tipificado como tal, sin embargo, el artículo 576 del Código Penal condena a quienes financien, de cualquier manera, a grupos criminales o terroristas.
Principales Riesgos en Redes Sociales para los menores.
En capítulo aparte merecen los riesgos que corren en la red nuestros menores. Uno de los mayores peligros de los ataques de ingeniería social en los menores son las redes sociales. En el caso de sextorsión en menores el tema es tremendamente complicado.
Internet ha revolucionado el modo en el que las personas interactúan con su entorno porque gracias a él, se accede más fácil a la información, existen mayores oportunidades de aprendizaje y ha potenciado nuevas formas para el esparcimiento y la interacción social.
Los menores de edad también son actores principales de esta revolución, pues socializan a través de blogs, redes sociales, salas de chat y sitios web, en efecto según UNICEF, los infantes y adolescentes son la población más activa en Internet, pues uno de cada tres niños en el mundo es menor de 18 años.
El hecho de compartir información, realizar publicaciones de comentarios, fotos o videos son peligros inherentes que acarrea socializar en Internet, porque pese a todas sus ventajas, el acceso a las tecnologías sin la formación en su uso responsable o sin el acompañamiento adecuado, está exponiendo a los infantes y adolescentes a diversos riesgos digitales.
El Grooming: Se denomina grooming a la situación en que un adulto logra ganar la confianza de un niño o adolescente valiéndose de engaños, suelen generar un perfil falso en una red social o chat, en donde se hacen pasar por una persona de su edad e inician una relación de amistad y confianza, con el objetivo de que acceda luego a sus peticiones, el delincuente puede ejercer actos criminales como acoso sexual o pornografía infantil.
También se puede definir como el conjunto de estrategias que una persona adulta emplea para lograr ganarse la confianza del menor a través de Internet con el fin último de lograr concesiones de índole sexual. El Grooming es una práctica criminal, en la que delincuentes engañan a menores a través de las redes sociales para extorsionarlos sexualmente.
El Sexting: Es el envío generalmente a través de Smartphones de fotografías y vídeos con contenido sexual, tomadas o grabados por sí mismo. Es una práctica frecuente entre jóvenes, y adolescentes que dejan a un lado su privacidad y no tienen presente los efectos de enviar una imagen íntima para llamar la atención o para generar algún tipo de interés en alguien.
El Ciberbullying supone el uso y difusión de información lesiva o difamatoria en formato electrónico a través de los medios de comunicación como el correo electrónico, la mensajería instantánea, las redes sociales, la mensajería de texto a través de dispositivos móviles o la publicación de vídeos o fotografías en plataformas electrónicas de difusión de contenidos.
Algunos ejemplos o actos que materializan el ciberbullying pueden ser: envio de mensajes sea por email o SMS amenazando a la víctima, publicación de imágenes o archivos multimedia de una persona tratando de avergonzarla en su círculo de amistades, creación de falsos perfiles en nombre de la víctima en un sitio web para escribir en primera persona temas vergonzosas, entre otros.
Las pautas de actuación ante un caso de ciberacoso.
La familia o el hogar es el primer punto de actuación y/o alarma ante un posible acto de ciber acoso a un menor. De la actitud que tenga padres y/o tutores dependerá en gran medida de la prevención o del desenlace de una de estas situaciones. Un cambio en las costumbres o en el humor del menor debería despertar las sospechas de que algo está ocurriendo.
La solución no es prohibirles navegar en redes sociales, sino enseñarles cómo usarlas, cómo detectar sus peligros y cómo evitarlos. Por lo anterior es esencial comprender qué riesgos se enfrentan los menores de edad cuando navegan por Internet.
La lucha contra el ciberacoso debe implicar a toda familia. Es muy aconsejable seguir estas pautas:
- Apostar por navegadores y buscadores seguros en los dispositivos que empleen los menores de la casa.
- Instalar el ordenador o vía de entrada a Internet siempre en zonas comunes de la casa (comedor, salón…),
- Evitar, sobre todo en los primeros años, que el menor acceda solo a Internet.
- Revisar la configuración de privacidad de redes sociales y aplicaciones de mensajería instantánea.
- Hablar con los hijos de los riesgos de la red y conciénciarle de que, tanto si le ocurre a él como a algún amigo, el ciberbullying es un delito.
- Conocer el lenguaje y los usos de las redes sociales por parte de los menores, solo así se podrá detectar si se está produciendo algún problema.
- Activar herramientas de control parental.
- Mostrar interés por la actividad en redes sociales y los contactos de los hijos en Internet. Evitar que acepten perfiles sin identificación.
- Fijar horarios estrictos tanto para el uso de redes sociales como para el de dispositivos móviles.
Albert Mesa Rey | Escritor
