Ingeniería social (Social Engineering)

La ingeniería social se refiere a la manipulación interpersonal utilizada por los ciberdelincuentes para acceder a los sistemas informáticos y datos confidenciales de otras personas. El término procede de la palabra inglesa «social», que se traduce como «interpersonal», e «engineering», que significa literalmente «construcción». Por tanto, se refiere a la construcción selectiva de una relación interpersonal.

¿Qué significa eso en detalle?

El principio de la ingeniería social no es nuevo. En la vida cotidiana, se conoce con términos como «fraude» y «estafa». Los medios digitales abren nuevas oportunidades a los delincuentes:

• Los ciberdelincuentes pueden recopilar información detallada sobre una empresa a través de medios digitales como sitios web de empresas, blogs, páginas de Facebook, etc. Pueden utilizar esta información para suplantar de forma creíble a una empresa. Pueden utilizar esta información para
• empleados, administradores o incluso directivos (véase el fraude del director general) de esta empresa.
• Los ciberdelincuentes pueden utilizar las redes sociales para establecer contactos selectivos, por ejemplo con ejecutivos, bajo una identidad falsa. En el contexto de una supuesta amistad o romance, intentan persuadir a la persona objetivo para que revele información sensible de la empresa.

La ingeniería social suele explotar las fortalezas humanas con fines delictivos. Se abusa deliberadamente de cualidades indispensables como la servicialidad, la confianza y el respeto a la autoridad.

• Por ejemplo, los ciberdelincuentes dicen ser amigos de amigos a los que la persona objetivo ha sido recomendada como persona de contacto. Por ejemplo, para corregir una solicitud de empleo. Sin embargo, el documento digital con la supuesta solicitud de empleo contiene malware como troyanos, ransomware o keyloggers.
• O los ciberdelincuentes se hacen pasar por superiores bajo presión de tiempo que, por ejemplo, ordenan la transferencia de una gran suma de dinero a una cuenta concreta.

El miedo se utiliza para la ingeniería social. Debido a su fuerte efecto emocional, el miedo reduce la capacidad de pensar críticamente. Esto facilita a los ciberdelincuentes la manipulación de las personas.

• En el fraude de los directores generales, por ejemplo, se amenaza con consecuencias profesionales negativas si no se ponen en práctica las supuestas instrucciones.
• En los intentos de chantaje, los ciberdelincuentes afirman estar en posesión de datos sensibles de la persona atacada, por ejemplo, fotos o vídeos de actos sexuales. Una vez cumplidas las condiciones de los chantajistas, estos datos se destruyen, de lo contrario se publican.
• Siguiendo un patrón similar, los ciberdelincuentes se hacen pasar por policías y exigen una multa por supuestos delitos, como descargas ilegales.

Los ataques de ingeniería social a largo plazo contra empleados de importancia estratégica son especialmente relevantes para las empresas. Puede tratarse, por ejemplo, de un supuesto contacto privado en el que se revela información cada vez más sensible de la empresa. Si la persona atacada sospecha o pierde el interés, puede producirse un chantaje basado en información o datos confidenciales ya revelados.

¿Dónde encuentro el tema en mi trabajo diario?

En teoría, siempre te encontrarás con situaciones en las que no puedas confirmar sin lugar a dudas la identidad de la persona con la que hablas, ya sea por teléfono, por correo electrónico o en mensajes privados.

¿Qué puedo hacer para mejorar mi seguridad?

• En principio: utiliza tus estrategias cotidianas probadas y comprobadas también en los medios digitales. Las preguntas inusuales, las peticiones inapropiadas, las historias dudosas o simplemente una «impresión general extraña» son señales de advertencia importantes, independientemente del canal.
• Nunca des contraseñas, información confidencial, etc., por teléfono.
  Pide el nombre completo y el número de teléfono, por ejemplo. O pregunta por personas ficticias, por ejemplo, un compañero ficticio del departamento o un cónyuge inexistente del supuesto amigo común.
• No te dejes presionar. No a través de una supuesta presión de tiempo o de un supuesto secretismo necesario. Ni a través de acusaciones, amenazas o halagos. Todo ello puede utilizarse para nublar tu juicio. Crea una situación en la que puedas pensar en las peticiones, etc., con la cabeza despejada y revisarlas si es necesario.
• Si es posible, comprueba la identidad de la persona con la que hablas a través de un canal fiable y neutral. Por ejemplo, llama a la sede de tu empresa y pide que te pongan con el nombre que te han dado. Esta llamada a un directivo al que no conoces de nada puede provocar un gran asombro por su parte, o demostrar que no hay ninguna persona con ese nombre en tu empresa.
• Sensibiliza a todos los empleados de tu empresa sobre los procedimientos de ingeniería social y las medidas de protección. Anima a tus empleados a preguntar en los lugares adecuados si reciben instrucciones inusuales. Sensibiliza a tus directivos sobre la importancia de estas indagaciones: pueden salvar a tu empresa de daños mayores.
• Planifica las emergencias, es decir, en caso de que un ataque de ingeniería social tenga éxito. Desarrolla escenarios y medidas a tomar para que puedas actuar inmediatamente si surge la necesidad. Esto incluye precauciones técnicas, pero también sociales, por ejemplo, puntos de contacto seguros y confidenciales para los empleados chantajeados o coaccionados de alguna otra forma.
• Si has sido objeto de un ataque de ingeniería social, informa inmediatamente a los departamentos pertinentes de tu empresa. Existe la posibilidad de que hayas descubierto los indicios de una amenaza persistente avanzada. Esto significa un ataque selectivo y en varias fases contra tu empresa, que puede incluir otros vectores de ataque, como spam, keyloggers y ransomware. Tu información puede ser crucial para el éxito de la defensa.