La ingeniería social logra que el eslabón más débil sea el propio usuario

De todos es sabido que una cadena es tan resistente como lo es su eslabón más débil. Este símil se suele utilizar en el ámbito de la seguridad de sistemas informáticos, explicando que de nada servirá aumentar recursos en ciertos sectores si tan solo uno de ellos permanece vulnerable.

La ingeniería social logra que el eslabón más débil sea el propio usuario

Imagen tomada de trulyfallacious.com

Uno de los principales problemas con los que se encuentran los especialistas que velan por nuestra seguridad informática es que normalmente el propio usuario se convierte en el eslabón más débil de muchos procesos, la pieza más vulnerable que echará por tierra todos los demás elementos de seguridad.

Unas veces es por desconocimiento y otras por exceso de confianza, pero lo cierto es que la mayoría de los problemas de seguridad habituales que afectan a nuestros dispositivos y por tanto a nuestra información, son desencadenados por la acción del propio usuario.

Los ciberdelincuentes lo saben y procuran aprovecharse de esta debilidad siempre que pueden. Utilizan lo que se conoce como ingeniería social para planificar sus fraudes, es decir, la técnica con la que nos confunden o engañan para que obremos según sus intereses y sin ser conscientes de que nos estamos metiendo en problemas. Hace referencia a la habilidad de manipular a las personas para eludir los sistemas de seguridad.

Sus objetivos suelen ser conseguir información personal y medios de acceso a sistemas informáticos para realizar acciones que perjudiquen a las personas e incluso a organizaciones enteras. La mayoría de las veces el fin es económico, pero en ocasiones pueden perseguir otros objetivos, como el boicot a empresas u organismos.

Ejemplos

No es posible exponer una relación exhaustiva de todos los posibles tipos de engaños basados en la ingeniería social que nos podemos encontrar por ser tan variados como queramos imaginar. Conforme evoluciona Internet, los sistemas de mensajería, las redes sociales y los dispositivos conectados nos vamos encontrando con métodos cada vez más sofisticados para engañarnos.

La ingeniería social está detrás de casos tan conocidos y frecuentes como:

  • El phishing: normalmente nos engañan con un correo electrónico alarmante que nos insta a visitar una Web a través de un enlace. La página que nos muestran, aunque parece real, resulta ser falsa y difícil de distinguir. En la mayoría de los casos se hacen pasar por alguna entidad bancaria con la finalidad de robarnos nuestros datos, aunque también pueden fingir ser otros tipos de organizaciones, como Pay Pal, Amazon, Ebay o el típico caso en el que se fingen ser el administrador de la cuenta de correo con la finalidad de robarnos nuestros datos de acceso.
  • Las cartas nigerianas: se conocen así a los mensajes que nos llegan invitándonos o a conseguir una gran cantidad de dinero a cambio de un pequeño desembolso inicial. Un caso frecuente es el de la herencia multimillonaria que han tenido la gentileza de compartir con nosotros. Otra modalidad es el premio de lotería con el que hemos sido agraciados sin ni siquiera haber jugado.
  • Grandes desastres naturales o cualquier otro evento internacional importante. En realidad, cualquier acontecimiento de repercusión mundial es aprovechado de inmediato por los delincuentes informáticos. Una catástrofe será la excusa perfecta para llamar nuestra atención a través de la solidaridad, por ejemplo para que colaboremos económicamente con alguna donación. Otros eventos como los mundiales de fútbol, los juegos olímpicos e incluso el lanzamiento del nuevo iPhone son utilizados como ganchos para atraer la atención de millones de usuarios y dirigirlos a páginas y descargas peligrosas.
  • Noticias sobre personajes famosos. También aprovecha el morbo y la curiosidad de los usuarios hacia noticias curiosas como escándalos, trifulcas o falsas muertes. Todas ellas terminan conduciéndonos a páginas cargadas de malware o que nos reconducen a otras donde nos solicitan la descarga de algún archivo o nos piden que aportemos datos personales.
  • Fechas señaladas. Como la Navidad o el día de San Valentín, en las que aparecen propuestas para descargarse felicitaciones, páginas para compartir postales virtuales y un sinfín de propuestas que en principio nos parecerán normales por corresponder a las fechas en las que estamos.

Cómo protegerse

El método más efectivo es el conocimiento de estos métodos. Aprender que existen y conocer cómo actúan nos hará prácticamente inmunes frente a estos riesgos.

Según el especialista en ingeniería social Kevin Mitnick (anteriormente hacker perseguido por la Ley), las personas somos vulnerables esencialmente porque obedecemos a estas cuatro premisas en nuestro comportamiento:

  1. A todos nos gusta ayudar
  2. Nuestro primer impulso hacia otra persona es de confianza
  3. No nos gusta decir NO
  4. A todos nos gusta que nos alaben

Yo aun añadiría un par más de conceptos que son capaces de influir negativamente en el sentido común de las personas, el morbo y la propia picaresca para “sacar tajada”, algo que nos suele impulsar a acciones arriesgadas sin medir las consecuencias.

Por tanto, el principal consejo que podríamos lanzar es que debemos desarrollar un sentido razonable de la desconfianza. No se trata de actuar con miedo perpetuo, como si el peligro se escondiera detrás de absolutamente todo, pero sí de aprender a desconfiar al detectar ciertas señales. De igual modo que sabemos que en la calle existe el peligro, no por ello dejamos de salir, pero sí evitaremos ciertos lugares y horarios que puedan resultarnos arriesgados.

Algunos hábitos en el uso de las tecnologías pueden proporcionarnos un mayor nivel de seguridad contra la ingeniería social. Por ejemplo:

  • Asegurarse de tener activo el filtro antispam. La mayoría de los gestores de correo electrónico disponen de esa opción, lo que evitará que nos lleguen muchos correos malintencionados.
  • Documentarse con la lectura de noticias y blogs relacionados, como éste mismo, aporta los conocimientos y destrezas suficientes para evitar cualquier intento de estafa basado en la ingeniería social. No conseguiremos la capacidad de defendernos de estos ataques si previamente no los conocemos.
  • Utilizar contraseñas robustas, cambiarlas periódicamente y no confiarlas a nadie siempre repercute en nuestra seguridad.
  • El uso de Favoritos o Marcadores en el navegador nos garantiza que accedemos a las páginas que queremos y no a otras que las suplantan. Nunca acceder a las páginas importantes siguiendo enlaces desde lugares desconocidos desconocidos.
  • Utilizar un antivirus y un navegador debidamente actualizados puede salvarnos de algún disgusto. La mayoría de las páginas fraudulentas quedan registradas en listas negras que pronto se actualizan y se distribuyen por todos los sistemas de seguridad.