Por Robert Bourgoing (@robertb_py)

Cuando se habla de ciberseguridad y peligros en internet, un término frecuentemente utilizado por los expertos en la materia es “ingeniería social”, aunque muchas veces no logramos comprender y dimensionar qué representa en realidad.

En la era digital, donde la tecnología ha transformado nuestras vidas, esta se ha convertido en una amenaza silenciosa pero poderosa, representando una de las formas más comunes y efectivas de ciberataques.

QUÉ ES LA INGENIERÍA SOCIAL

La ingeniería social es considerado como “el arte de manipular a las personas para que revelen información confidencial”. En lugar de explotar vulnerabilidades técnicas, las personas detrás de esta práctica -en su mayoría ciberdelincuentes- explotan la psicología humana.

Para concretar sus golpes en internet, principalmente en las redes sociales, estas personas se valen de engaños, manipulación y persuasión para obtener acceso a datos sensibles como contraseñas, información financiera, o acceso a sistemas restringidos.

FORMAS COMUNES DE INGENIERÍA SOCIAL

1. Phishing: consiste en enviar correos electrónicos fraudulentos que parecen provenir de fuentes legítimas. Estos correos suelen contener enlaces a sitios web falsos que imitan a los auténticos, donde se solicita a los usuarios que ingresen información personal.

2. Vishing (Voice Phishing):sSe realiza a través de llamadas telefónicas, donde el atacante se hace pasar por una entidad confiable para obtener información confidencial.

3. Spear Phishing: es una versión más dirigida del phishing, donde los atacantes personalizan los mensajes para una persona o empresa específica, aumentando así la probabilidad de éxito.

4. Pretexting: aquí, el atacante crea una historia falsa (pretexto) para obtener la información deseada. Puede hacerse pasar por un colega, un oficial de policía, o cualquier otra figura de autoridad.

5. Baiting: implica atraer a las víctimas con una oferta atractiva (como un USB encontrado) que, al ser utilizada, instala malware en el sistema.

6. Tailgating: también conocido como “piggybacking”, ocurre cuando un atacante sigue a una persona autorizada a través de una puerta de acceso restringido para entrar a una instalación segura.

IMPLICANCIAS Y RIESGOS

La ingeniería social puede tener consecuencias devastadoras tanto para individuos particulares como para organizaciones, teniendo en cuenta que ambos se ven expuestos a sufrir vulneraciones de cualquier índole.

Los riesgos incluyen:

*Robo de identidad: los atacantes pueden usar la información obtenida para hacerse pasar por la víctima y acceder a cuentas bancarias, solicitar créditos, etc.

*Pérdida financiera: tanto individuos como empresas pueden sufrir pérdidas significativas si los atacantes acceden a sus cuentas o sistemas financieros.

*Daño a la reputación: las empresas pueden ver su reputación gravemente dañada si se descubre que han sido víctimas de un ataque, afectando la confianza de sus clientes y socios.

*Acceso no autorizado a información sensible: esto puede incluir secretos comerciales, datos de clientes, información de empleados, etc.

LA VOZ DE UN EXPERTO

Miguel Ángel Gaspar, director de Paraguay Ciberseguro, asegura que la ingeniería social es mucho más que la manipulación de ciberdelincuentes para obtener datos válidos. “Tiene que ver con cambiar la decisión, la voluntad, el comportamiento y la conducta de las personas manipulando justamente sus necesidades, miedos, angustias o estados”, señala en entrevista con HOY.

Sobre este punto, enfatiza que esta manipulación se da con la intención de hacer cambiar de decisión o de comportamiento a las víctimas, a fin de que terminen entregando acceso a datos válidos que los ciberdelincuentes aprovechan en su haber.

Con la llegada de la inteligencia artificial, se produce un nuevo quiebre en donde la ingeniería social permite que de la mano de la “sintetización de seres humanos” (cuando se utilizan aplicaciones para trucar voces o rostros) se corra el riesgo de una suplantación de identidad, pudiendo incluso efectuarse análisis de movimientos, gestos y rasgos para que sea más creíble, sostuvo.

“Entramos en una nueva era de la ingeniería social porque las personas van a ser engañadas por situaciones que no existen y que están manipuladas para que les hagan creer lo que los atacantes quieren”, indicó Gaspar.

Ante estos nuevos paradigmas y riesgos, el mismo cree más que necesario extremar cuidados y aprender a protegerse para reconocer “lo que es real y lo que no”.

FORMAS DE PROTEGERSE EN INTERNET

La ingeniería social es una amenaza omnipresente en nuestra sociedad digital. Sin embargo, con conocimiento, precaución y las medidas de seguridad adecuadas, podemos protegernos y minimizar los riesgos.

Estas son algunas recomendaciones que pueden ayudarnos a la hora de resguardarnos en internet:

1. Educación y concienciación: la mejor defensa contra la ingeniería social es la educación. Los usuarios y empleados de empresas deben estar al tanto de las tácticas comunes y saber cómo identificarlas.

2. Verificación de identidad: siempre se debe verificar la identidad de la persona que solicita información confidencial, especialmente si la solicitud es inusual o inesperada.

3. Políticas de seguridad: implementar políticas de seguridad estrictas, incluyendo la autenticación de dos factores para cuentas o servicios (Facebook, WhatsApp, email, etc.) puede reducir significativamente el riesgo.

4. Uso de software de seguridad: antivirus, firewalls y otros programas de seguridad pueden ayudar a detectar y prevenir ciberataques.

5. Fomentar la cultura de seguridad: en las organizaciones, se debe apuntar a promover una cultura donde los empleados se sientan cómodos reportando comportamientos sospechosos sin temor a repercusiones.

CUIDANDO LOS DATOS PERSONALES

Para proteger nuestros datos personales en el día a día y evitar ser víctima de los ciberdelincuentes, es de vital importancia seguir estos consejos:

- Ser escéptico: siempre es preferible desconfiar de los correos electrónicos, mensajes y llamadas inesperadas que solicitan información personal, ya que en muchas estafas simulan ser empresas u organizaciones para captar víctimas.

- Revisar todas las URL de las páginas: hay que asegurarse de que las direcciones web sean legítimas antes de ingresar información confidencial. Si empieza con “https”, mucho mejor ya que se trata de una web segura.

- Mantener los sistemas actualizados: las actualizaciones de software suelen incluir parches de seguridad que protegen contra nuevas amenazas, lo cual abarca tanto a las computadoras como teléfonos celulares.

- Controlar las redes sociales: es aconsejable limitar la cantidad de información personal que uno comparte en línea y configurar las cuentas para que sean lo más privadas posible, restringiendo el acceso a usuarios desconocidos.