Cabecera blog ciberseguridad

Guía práctica para entender los ataques de ingeniería social

Los ataques de ingeniería social explotan multitud de vectores

Hay melodías de películas que se han extendido tanto por el imaginario colectivo que uno pueda reconocerlas incluso aunque no haya visto la película a la que pertenece. Ese es el caso del tema principal de El golpe, un clásico de Hollywood que retrataba a la perfección cómo funcionaba la ingeniería social en la era predigital. La historia de una banda de estafadores que orquestaba un elaborado plan para, como su título indica, dar un golpe y enriquecerse. La implementación de internet en todos los ámbitos de nuestra vida ha traído consigo el salto de los ataques de ingeniería social a un nivel de complejidad y a un alcance mucho mayor.

Los timos clásicos han dado paso a técnicas tan o más sofisticadas que combinan conocimientos de psicología y sociología con el empleo de las tecnologías digitales. Un conjunto de estrategias que tienen poco de trucos de magia y mucho de conocimiento del comportamiento humano y del funcionamiento del mundo digital.

A lo largo de esta guía práctica, vamos a abordar las claves para entender en qué consisten, cómo funcionan y cómo podemos protegernos son servicios de ingeniería social.

1. ¿Qué es la ingeniería social?

El Instituto Nacional de Ciberseguridad (INCIBE) define la ingeniería social como «una técnica que emplean los ciberdelincuentes para ganarse la confianza del usuario y conseguir así que haga algo bajo su manipulación y engaño». Ese algo puede adquirir la forma de la suministración de datos personales como contraseñas o cuentas bancarias o la ejecución de un programa malicioso en un dispositivo personal.

Los criminales emplean como canal de acceso a sus víctimas los dispositivos digitales. Ya sean móviles a través de llamadas, sms, correos electrónicos, redes sociales, ordenadores personales, tablets, pendrives…

Pero más allá de la cuestión tecnológica, fundamental, sobre todo en aquellos ataques de ingeniería social que emplean software maliciosos; el factor humano es la piedra angular de estos cibercrímenes, a diferencia de otros mucho más complejos en su dimensión técnica.

2. El milenario arte de la manipulación

La manipulación está en la base de la civilización. Hay múltiples historias de manipulación y engaño en la mitología grecolatina. Dioses manipulándose los unos a los otros. Ingenuos mortales intentando engañar a los dioses para obtener beneficios a cambio. Y fracasando estrepitosamente.

Sobre el arte de la manipulación gira, también, una de las obras político-sociológicas más referenciadas de la Historia, El príncipe de Maquiavelo. Tal ha sido su impacto que el adjetivo maquiavélico nos sirve para categorizar, a la perfección, los ataques de ingeniería social.

En lo que respecta a este tipo de ciberataques, lo importante no es tanto el quién, es decir, los cibercriminales que se esconden al otro lado de los dispositivos, como el a quién, el cómo y el para qué.

3. Los usuarios son el eslabón débil

Franquear un buen sistema de ciberseguridad es una tarea ingente que requiere un conocimiento técnico de enorme magnitud. Puesto que el sistema ha sido diseñado por profesionales que saben lo que hacen. Incluso vulnerar un sistema de ciber protección precario, es necesaria una alta cualificación técnica.

Por ello, los ataques de ingeniería social cambian el enfoque de los ciberdelitos. No hay que atacar a las fortalezas, sino a las personas que se resguardan detrás de ellas y conseguir que abran las puertas de la ciudadela.

Volvamos a recurrir al pasado grecolatino. Pocas historias hay más famosas que la del Caballo de Troya. Los griegos construyeron un gigante caballo de madera y metieron en él a guerreros. Después se lo ofrecieron como obsequio en favor de la paz a los troyanos, con los que llevaban una década en guerra. Cuando el caballo traspasó las infranqueables murallas de Troya, el ataque fue letal. Es tal el impacto de esta historia en nuestra cultura que el ámbito de la ciberseguridad se bautizó como troyanos a un tipo de malware muy extendido.

Casi todo lleva inventado siglos y siglos. Los principios rectores de la manipulación que tenían sentido en la Antigüedad, siguen siendo válidos en el mundo global y digital. Lo único que se ha transformado son las técnicas y los canales, adaptándose y enriqueciéndose con los avances científicos y tecnológicos, sobre todo en los últimos años.

4. Psicología, sociología y comunicación en la era digital

Si los ataques de ingeniería social parte de la idea fuerza de que en el mundo digital el eslabón débil son las personas y no las máquinas, bots y algoritmos que lo sostienen, la psicología y la sociología deben ocupar un lugar preminente en su diseño e implementación.

Esto choca, de entrada, con la concepción, instalada en la opinión pública, sobre los ciberdelitos. Puesto que detrás de ellos nos imaginamos a crackers con grandes conocimientos informáticos, capaces de hackear redes y dispositivos.

En cambio, los ataques de ingeniería social descansan, en gran medida, en un estudio preciso de la víctima, en casos concretos, o del grupo target, cuando el ataque se dirige a un público más amplio.

Para ello, se requieren conocimientos de psicología, sociología y comunicación. Puesto que estas tres áreas del saber permiten entender cómo piensa la víctima, cómo nos comportamos las personas en diferentes escenarios y cuál es la mejor forma de comunicarse con nosotros para que caigamos en la trampa.

La clave reside en conocer, de antemano, las pautas de comportamiento y reacción de las personas frente a determinadas cuestiones. ¿Cómo responde la gente cuando le llega un mensaje de su compañía de la luz anunciándole que le van a cortar el suministro porque no tienen sus datos bancarios? Aunque muchas personas detecten el fraude, habrá otras que entren en pánico y cometan el error de clicar en el enlace para cumplimentar su información.

5. Las víctimas perfectas y la alfabetización digital

Uno de los principales indicadores para medir el progreso de un país es su índice de alfabetización. En los estados más desarrollados, la alfabetización de la población es total, puesto que, desde hace varias décadas, la educación obligatoria garantiza que todos los niños sepan leer y escribir.

Este avance ha sido mayúsculo y ha tenido un inmenso impacto social, económico y cultural. Pero en los tiempos actuales se hace indispensable, también, alfabetizar digitalmente a las personas. Es decir, enseñarles a emplear las nuevas tecnologías de la información y moverse con soltura a través del mundo digital.

En lo relativo a esta cuestión, el problema no reside en la alfabetización infantil, los niños y adolescentes de hoy en día ya son nativos digitales. Las generaciones anteriores (millenials, X…) se han digitalizado, muchas veces, de forma autodidacta y por necesidades laborales y personales. El gran problema reside en las personas mayores, que no han tenido que usar, en muchos casos, las tecnologías digitales para trabajar y que tienen una relación complicada con los dispositivos y los numerosos avances que se han producido y se siguen produciendo.

Precisamente estas personas son las víctimas perfectas de la ingeniería social. Puesto que les cuesta más discernir qué mensajes son lícitos y cuáles no. Saber si un sms que le llega desde una cuenta que dice ser su entidad bancaria es real o, en cambio, es la puerta para realizar un fraude y sustraerle dinero de su cuenta corriente.

Por ello, abordar los ataques de ingeniería social implica tener en cuenta que muchos de ellos buscan aprovecharse de los problemas de alfabetización digital de las personas más mayores. Alguien acostumbrado a moverse por internet puede detectar a simple vista que un correo electrónico que le anuncia que ha ganado un premio es un fraude, en cambio, alguien que no ha leído sobre este tipo de abusos, ni ha recibido decenas de ellos, puede caer en la trampa.

6. El escenario del crimen: las redes sociales y los canales de comunicación

La icónica película de Alfred Hitchcock, el maestro del misterio, La soga, fue rodada en un trucado plano secuencia y en un único escenario: el del crimen. En el caso de los ataques de ingeniería social, ese escenario es tan basto y amplio como internet mismo.

Los ataques pueden cometerse a través de las redes sociales. Una historia de Instagram, un twit, un mensaje directo en Facebook. Pero también a través de las aplicaciones de mensajería instantánea, como WhastApp o Telegram, a donde nos pueden llegar mensajes o cadenas maliciosos. O las llamadas telefónicas y SMS. Pero, sobre todo, a través del correo electrónico. Una herramienta de comunicación tanto a nivel personal como, sobre todo, profesional y empresarial. Un email puede ser la puerta de entrada perfecta para vulnerar datos de personas y de negocios.

Los ciber timos, por lo tanto, han multiplicado los canales de acceso a las víctimas potenciales con respecto a la era predigital. Esto implica que las personas tengan que estar en alerta constante ante los mensajes que le llegan, incluso hasta cuando creen que están a salvo de cualquier riesgo.

Al igual que pasaba en el thriller de Htichcock, no solo importa el escenario, sino su preparación. Los cibercriminales no se limitan a confeccionar un mensaje, sino que deben tener controladas, previamente, las posibles reacciones de las personas y, por lo tanto, la mutabilidad del escenario. No es lo mismo si la persona cae en el timo de primeras o si se muestra reacia o, su comportamiento va cambiando entre la credulidad y la desconfianza.

El robo de credenciales es uno de los ataques de ingeniería social más frecuentes

7. Los objetivos de los ataques de ingeniería social

Hemos analizado cómo la tecnología y el estudio de patrones de comportamiento se combinan para construir los ataques de ingeniería social, cuáles son las víctimas más usuales y cómo funcionan los escenarios. Pero… ¿para qué sirve todo esto? ¿Cuáles son los objetivos de estas agresiones? Conseguir que las personas realizan una determinada acción.

7.1 Ejecutar un programa malicioso

Los ataques de ingeniería social más avanzados técnicamente pueden tener como objetivo la ejecución de un programa malicioso para controlar un determinado dispositivo o realizar una intrusión en toda una red. Hay muchas técnicas de malware, como los troyanos que mentamos antes o los ataques de gusano.

La clave radica, además de en la preparación técnica, en atraer a la víctima hacia un enlace que abra la puerta al programa malicioso. Mediante un simple clic se puede desencadenar una crisis. Mediante estos ataques, los delincuentes pueden obtener toda la información almacenada o accesible dentro del dispositivo. Un caudal de datos de gran valor que, si son vulnerados, pueden generar un gran daño para la persona o empresa víctima de acto malicioso.

Por eso es importante, como señalaremos más adelante, actuar con prudencia y cautela, incluso ante mensajes que, en apariencia, parezcan fidedignos o inocuos.

7.2 Facilitar claves privadas

Este objetivo está más ligado al trabajo de manipulación psicológica, puesto que requiere que la persona, por su propia voluntad, proporcione sus claves privadas. La contraseña de su cuenta de email o la de acceso a su banca online. Información clave que afecta a su privacidad, a su dinero e, incluso, a los de la empresa para la que trabaja.

Los correos electrónicos no son, solo, el escenario más empleado para cometer ataques de ingeniería social, también constituyen uno de los principales objetivos a vulnerar. ¿Por qué? El email es una puerta que abre muchas más puertas. Obtener las claves para entrar en una cuenta de correo electrónico puede permitir a un delincuente consultar una enorme cantidad de información personal y profesional que facilite la realización de fraudes de mayor tamaño. Secuestrar datos empresariales, venderle información estratégica a la competencia…

En el mundo digital, que una persona facilite sus claves privadas es similar a que en el plano meramente físico le dé las llaves de su casa o de su coche a alguien. Por mucho que te fíes de tu agente de seguros, no le das las llaves de tu casa porque sí. Por ello, tampoco se deben otorgar claves a personas que llaman o escriben, aparentemente, de parte de una empresa de la que eres cliente.

7.3 Realizar transacciones fraudulentas

Además de conseguir que una persona dé, voluntariamente, alguna de sus múltiples claves privadas, también se puede lograr, mediante los ataques de ingeniería social, que las víctimas lleven a cabo transacciones fraudulentas, como la compra de algún objeto o servicio que, en realidad, no existe o que envíen una cantidad de dinero a una cuenta esperando algo a cambio. E, incluso, que donen dinero a una causa social justa que tampoco es real.

A través de estas acciones, los delincuentes logran cometer fraudes económicos sin necesidad de diseñar malwares, simplemente montando un negocio o organización aparentemente lícita.

En líneas generales podemos sostener que, mediante estas actividades, las víctimas están facilitando a los atacantes la consecución de sus objetivos, ya sea cometer un fraude, hacerse con información confidencial o llevar a cabo una intrusión en una red.

8.0 La forma de proceder: ¿cuántos contactos se necesitan?

Como hemos ido apuntando ya, los ataques de ingeniería social no son homogéneos, en unos priman unos objetivos sobre otros, los escenarios son diversos y, por todo ello, las formas de proceder también lo son.
De cara a realizar una sistematización que facilite la comprensión de estas agresiones, podemos agruparlas en función del número de contactos entre los delincuentes y sus víctimas que son necesarios.

8.1 Hunting

Los ataques de ingeniería social hunting se sustentan sobre un único contacto entre el criminal y la persona a la que ataca. Ello conlleva que:

  • Se persiga atacar al mayor número de usuarios posibles.
  • Se dirija a un público general o a un target concreto (por ejemplo, los mayores de 65 años), pero no a personas individuales que han sido estudiadas meticulosamente.
  • El diseño del mensaje sea absolutamente clave, puesto que de su capacidad de manipulación y engaño dependerá el éxito del ataque.
  • No requiera la planificación de escenarios en función de la respuesta de la persona objetivo.
  • Esta forma de actuar es la propia de tipos de ataques como el phishing o sus derivados.

Así, el hunting busca obtener el máximo beneficio en un solo intento. Por ejemplo, mediante el envío masivo de emails o sms a miles de personas. No hay intercambio comunicativo entre delincuente y víctima, porque la relación es unidireccional. De ahí que se pueda emplear para dirigir a una persona hacia un enlace malicioso, pero sea menos eficiente si el objetivo que se persigue es obtener claves privadas o lograr que la víctima potencial realice una transacción.

8.2 Farming

La aproximación y el desarrollo de los ataques farming es diferente. Puesto que su ejecución conlleva realizar varias comunicaciones con la persona a la que se está atacando. Para ser precisos, se llevarán a cabo todos los contactos que hagan falta para lograr el objetivo o, por lo menos, sustraer la mayor cantidad de datos personales o empresariales.

Este tipo de ataques son más complejos de planificar, puesto que es necesario pensar bien los diferentes escenarios que se pueden dar durante el proceso comunicativo.

Como ejemplos de farming podemos señalar las extorsiones con supuesta información privada que está en disposición del atacante o la suplantación de la identidad de un trabajador de una empresa legítima.

En estos casos puede darse una mayor individualización del tratamiento de la víctima potencial. Los delincuentes pueden conocer previamente información sobre ésta, por ejemplo, a través de las redes sociales. Y emplear estos datos en su beneficio a la hora de diseñar la estrategia de ataque.

De ahí que empleemos farming, agricultura, como concepto para identificar la forma de proceder. Frente a las agresiones hunting, cazar. Éstas se limitan a lanzar ataques en varias decisiones. Mientras que los ataques de ingeniería social farming consisten en sembrar, recopilación de datos, comunicaciones agresivas… para, luego, recoger sus frutos en forma de fraude y sustracción de dinero o información.

9. Las fases de los ataques de ingeniería social

Si bien los ataques hunting y farming difieren en su forma de proceder, como acabamos de señalar y hay múltiples tipos de ataques de ingeniería social, como abordaremos en el siguiente apartado, podemos sistematizar su ejecución señalando cuatro grandes fases.

9.1 Recolección de la información

Esta primera fase es estrictamente preparatoria. En ella, los delincuentes llevan a cabo una recolección, lo más exhaustiva posible, de los datos personales de la víctima. Dónde trabaja, dónde vive, con quién se relaciona…

Aquí, las redes sociales juegan un papel fundamental, puesto que funcionan, en muchos casos, como espejos que reflejan estampas de nuestra vida. En ellas figuran nuestros amigos, familiares y, a veces, nuestros compañeros de trabajo. Pero también nuestros intereses y opiniones. En algún momento hasta visibilizamos nuestros sentimientos. Toda esa información puede ser clave para llevar a cabo ataques de ingeniería social y manipularnos con éxito.

Si el objetivo del intento de delito es una empresa, en vez de una persona física, los atacantes intentarán recopilar toda la información posible sobre los trabajadores, el funcionamiento de la organización (jerarquía, áreas de trabajo…), sus proveedores (entidades bancarias, suministradoras de luz, telefonía e internet…) y sus características espaciales.

La recolección de esta información es útil para todo tipo de ataques de ingeniería social, puesto que cuanto mayor sea el nivel de personalización, más fácil resultará que la víctima sucumba al ataque. Pero, sobre todo, es fundamental para los ataques farming, ya que forma parte de ese proceso de sembrar.

9.2 Construcción de la relación de confianza

Tras finalizar la fase preparatoria, se puede poner en marcha el ataque en sí. Todos los tipos de ataques de ingeniería social necesitan generar, en primer lugar, confianza. Si no se crea ese vínculo, la persona u organización a la que se dirige el ataque no caerá en el ciber timo.

La personalización, que señalamos antes, es una gran ayuda a la hora de construir una relación de confianza. Si una persona que se hace pasar por tu agente bancario te llama por tu nombre y te da información sobre ti o tus cuentas, no desconfiarás de ella.

La confianza también es clave en ataques hunting, puesto que, si te llega un correo electrónico con un enlace, éste debe parecer verídico, si no, lo más probable es que se elimine el email sin haber clicado.

Cuanto más avezada esté la víctima en el mundo digital, mayor debe ser el esfuerzo por generar confianza. Si intenta acceder al ordenador del trabajador de una empresa, el atacante tendrá que haber planificado extremadamente bien la coartada para que el empleado confíe en que es quién dice ser. Por ejemplo, un profesional de la compañía de ciberseguridad con la que trabaja la empresa.

9.3 Manipulación de la persona

Con la información obtenida en las dos fases anteriores, el atacante procederá a manipular a la víctima para cumplir sus objetivos. Las técnicas son múltiples, desde apelar a sus intereses personales o a pasiones humanas como la codicia o el deseo, hasta infundir miedo o respeto, pudiendo recurrir, incluso, a la coacción.

En esta fase es donde la vertiente psicológica y el estudio de los patrones de comportamiento son más relevantes. La manipulación es, como dijimos antes, un arte. Lo era en Troya y lo es en el mundo digital.

9.4 Final del ataque

En muchas ocasiones, las personas u organizaciones son conscientes de que han sido víctimas de un fraude cuando descubren que falta dinero en sus cuentas o alguien se pone en contacto con ellas anunciándoles que tienen a su disposición información valiosa.

Pero también hay casos en los que las víctimas no llegan a descubrir que lo son. Cuando sucede esto, los atacantes han conseguido finalizar la agresión, conseguir la información que deseaban y no levantar, en ningún momento, sospechas.

Si logran esto, no solo se habrán salido con la suya, sino que, además, podrán volver a atacar a la persona u organización y obtener, así, un beneficio mayor.

El volumen de ataques de ingeniería social no ha dejado de crecer en los últimos años

10. Diez tipos de ataques de ingeniería social

Formas de proceder y fases nos ayudan a sistematizar el funcionamiento de los ataques de ingeniería social y poder confeccionar una tipología. Como todo lo relativo al ámbito de la ciberseguridad, este tipo de acciones maliciosas mutan y se transforman, puesto que los delincuentes necesitan innovar para poder conseguir sus objetivos. Sobre todo, si las empresas y particulares se protegen frente a los ataques. De ahí que esta relación no englobe a la totalidad de ataques de ingeniería social que pueda haber, pero sí a algunos de los más comunes.

10.1 Phishing

Es el más conocido de todos los ataques que emplean la manipulación. Su nombre nos muestra, en gran medida, su esencia: pescar víctimas.

Este tipo de ataque de ingeniería social opera al estilo hunting. Para ello, emplea el correo electrónico, la herramienta de comunicación laboral por excelencia, como canal y escenario. En el email se incorporan archivos adjuntos infectados con un virus o links a páginas fraudulentas con malware. El objetivo es tomar el control del dispositivo en el que se abrió el enlace o el documento y poder sustraer información confidencial o valiosa de su interior.

Si bien el phishing incorpora una esfera de manipulación, puesto que el diseño del correo y el texto que figura en él deben resultar creíbles y seductores, la clave está en el elemento técnico. Es decir, en el diseño e implementación de los malware.

Cuando la víctima potencial es una persona o una empresa poderosa, este tipo de acciones se denominan whaling, jugando con el concepto de la caza de ballenas, los animales acuáticos más grandes.

10.2 Spear phishing

El phishing es un ataque de corte generalista, es decir, no está personalizado para la víctima potencial. En cambio, el spear phishing es una evolución de este que sí centra el contenido del correo electrónico en la persona en concreto a la que se desea atacar para obtener, a su vez, una clase de información determinada.

Por ejemplo, un atacante puede enviar un correo electrónico malicioso a todas las personas que trabajan en una empresa, a ver si alguna cae en la trampa y descarga el documento infectado o clica en el enlace. Pero también puede dirigirse a un trabajador en concreto, personalizando el mensaje para generar confianza y que así éste ejecute el malware sin querer.

El spear phishing pone en valor la fase de preparación del ataque y la recolección de información previa. Y es especialmente útil si se desea acceder a datos de un departamento en concreto de una organización o que se sabe que están al alcance de muy pocas personas.

10.3 Smishing

Este ataque también deriva del phishing. En este caso, en vez de emplear el correo electrónico como medio, se usa el SMS.

A diferencia del phishing, en el SMS no se pueden enviar documentos adjuntos, sin embargo, se puede redirigir al usuario a un enlace que lo lleve a una web fraudulenta o pedirle que llame a un número de tarificación especial.

Este tipo de ataques de ingeniería social tiene la ventaja, para los atacantes, de que los SMS generan mayor confianza que los correos electrónicos. Habitualmente, los delincuentes se hacen pasar por empresas. Por ejemplo, una compañía suministradora de gas y redirigen al usuario a un enlace para consultar su factura.

10.4 Vishing

Si el anterior empleaba los SMS, este ataque se centra en las llamadas telefónicas. Así, el delincuente se hace pasar por un trabajador de algún tipo de empresa o institución que genere confianza en la víctima. Y, a partir de ahí, lo manipula para obtener una serie de datos como claves privadas, información bancaria u otro contenido de interés sobre ella o la organización a la que pertenece.

En estos casos, la manipulación es la clave de bóveda del ciber timo. De ahí que requieran una planificación concienzuda de las diferentes respuestas que se le pueden dar a la víctima en función de su discurso.

10.5 Baiting

No todos los ataques de ingeniería social se producen a través de canales de comunicación. El baiting consiste en dejar un cebo, tal cual como en una cacería. Ese cebo puede ser, por ejemplo, un pendrive que contenga en su interior malware. Así, cuando una persona se encuentre con un dispositivo de almacenamiento y lo conecte a su ordenador, el agresor habrá logrado lo mismo que empleando el phishing.

En este caso la manipulación queda relegada, puesto que el apartado psicológico se limita a pensar la localización para dejar el dispositivo y a explotar la codicia que tenemos todos en nuestro interior. ¿Un pendrive gratis? ¿Por qué no?

10.6 Pretexting

Como señalamos anteriormente, la primera fase de todo ataque es la recolección de información. Pues bien, si ésta es exhaustiva puede emplearse para realizar un ataque pretexting.

Esta tipología es completamente diferente a la anterior, en este caso, la manipulación es fundamental. Así, el atacante construye, previamente, una historia y un escenario ficticios pero creíbles para conseguir que la víctima le proporcione, voluntariamente, toda la información que desea saber.

El agresor no solo necesita conocimientos de psicología, sino de narratología y de construcción de un relato que proporcione fiabilidad y, a la vez, sea interesante. Un cuento con final amargo para el que lo escucha o lee.

10.7 Quid pro quo

Este precepto latino no deja mucho lugar a dudas. Una cosa por otra. El atacante ofrece un premio o satisfacción a la víctima a cambio de que ésta le otorgue la información que necesita, rellenando, por ejemplo, un formulario.

El premio, como en todo buen timo, no existe, pero el delincuente ya ha obtenido la información que deseaba. Ésta puede parecer pueril, no tiene por qué ser una contraseña o los números de una cuenta bancaria. Pero le servirá al agresor para poner en marcha un ataque más complejo y ambicioso.

10.8 Mulas digitales

Toda aquel que haya visto alguna vez una película o serie sobre el narcotráfico sabe lo que son las mulas. Personas que transportan droga de un lugar a otro a cambio de dinero. El concepto puede resultar ajeno al mundo de la ciberdelincuencia, pero no es así.

Hay un tipo de ataque que deriva del quid pro quo y puede convertir a las víctimas en cooperadores involuntarios de blanqueo de capitales.

Los delincuentes ofrecen a los usuarios una forma de ganar dinero fácil sin tener que moverse del sofá. Solo tiene que ejercer como intermediarios, efectuando una transferencia concreta a una cuenta y obteniendo, como contraprestación, una comisión, como si fueran ellos mismos entidades bancarias.

El problema reside en la procedencia del dinero que obtiene de vuelta: el narcotráfico, la trata de personas, el tráfico de armas… Básicamente ha ejercido de intermediario en una operación para blanquear dinero ilegal. Lo cual no solo es inmoral, sino que también puede ser perseguido por la Justicia.

10.9 Shoulder Surfing

Mediante este ataque, el delincuente no entra dentro del dispositivo, sino que lo observa desde fuera. Husmeando móviles y ordenadores de personas que se encuentran a su alrededor y detectando información que le puede resultar útil. Como por ejemplo contraseñas de correos electrónicos o plataformas internas de empresas.

No basta con estar atentos a nuestras pantallas, también hay que supervisar que nadie más lo esté.

10.10 Dumpster diving

También juega en el plano físico el último tipo de ataque que vamos a abordar en esta guía práctica: el dumpster diving.

En este caso, el atacante no vigila las pantallas, sino que se acerca a los contenedores de las empresas y busca en su basura documentación en la que figuren datos personales, estratégicos o financieros.

Si logra obtenerlos, podrá poner en marcha otro tipo de ataques de ingeniería social o, directamente, extorsionar a la empresa o a alguno de sus trabajadores.

11. ¿Cómo protegerse frente a los ataques de ingeniería social?

Llegados a este punto, es el momento de reflexionar sobre cómo se pueden evitar estos actos delictivos o, por lo menos, protegerse frente a ellos.

11.1 Prudencia y concienciación

Puede parecer una obviedad, pero está lejos de serlo: es fundamental ser prudente. Este consejo vale para muchos ámbitos de la vida (no para todos) y, desde luego, es pertinente cuando hablamos de los ataques de ingeniería social. Si un mensaje o una llamada nos generan la más mínima duda, no hay que clicar o descargar nada, ni dar ningún tipo de información personal o confidencial.

No por nada el dicho popular sostiene que «la curiosidad mató al gato». Las personas somos curiosas por naturaleza y esta característica es fantástica en muchas dimensiones de nuestra vida diaria, pero en lo que respecta a la protección frente a los ataques debe modularse con la prudencia.

Asimismo, es clave la tarea de concienciación que deben llevar a cabo las instituciones y las empresas y que las personas deben asumir. Los ataques de ingeniería social son peligrosos porque pueden llegar a vulnerar información muy sensible para las personas, los negocios y las administraciones.

Al igual que cerramos con llave la puerta de nuestro coche para que no nos lo roben, debemos proteger nuestros dispositivos y canales de comunicación para evitar que los delincuentes obtengan datos valiosos. El mundo digital es real y los problemas que en él se generan también lo son.

Por otro lado, no solo basta con advertir de los peligros de la ingeniería social, también hay que formar a las personas para que estén preparadas para afrontarlos, sobre todo en lo que respecta a la ciudadanía con más carencias digitales.

11.2 Testeo, análisis y evaluación

La prudencia y la concienciación son principios motores que deben guiar a las personas y negocios en su relación con los ataques peligros, pero, obviamente, una organización que se toma en serio la protección de su información puede hacer mucho más.

Tarlogic Security pone a disposición de empresas e instituciones una serie de servicios que contribuyen a analizar, testear y evaluar los sistemas de protección de la organización frente a los ataques de ingeniería social, así como el comportamiento de los trabajadores que la conforman.

Para ello, se ponen en marcha ataques que muestren las vulnerabilidades y fortalezas de la empresa y su plantilla en esta materia. El empleo de técnicas de phishing, spear phishing, smishing o vishing permite conocer con exactitud cuáles son los patrones de comportamiento de los empleados. Analizarlos en profundidad y, a partir de ahí, realizar una evaluación sobre lo que se debe mejorar, señalando qué aspectos se deben corregir.

Al contar con una evaluación precisa de la situación, se pueden poner en marcha medidas que reduzcan el nivel de riesgo a la mínima expresión y concienciar a las personas que conforman la organización sobre los problemas detectados, para evitar que se produzcan en caso de ataques reales.

Así, el testeo y análisis por parte de especialistas en ciberseguridad y ataques de ingeniería social, se convierte en una herramienta clave para optimizar la protección frente a este tipo de agresiones maliciosas.

Nadie nació aprendido, por muy inteligente que sea una persona, también puede ser víctima de un timo. Los líderes de Troya fueron capaces de resistir a una década de asedio, demostrando sus conocimientos y valía, pero, en cambio, sucumbieron frente a lo que parecía un obsequio. La evaluación por parte de profesionales puede muestra todos los errores que se pueden llegar a cometer en la protección frente a un ataque y, así, solucionarlos antes de que sea tarde.

Más artículos de la serie Ingeniería social

Este artículo forma parte de una serie de articulos sobre Ingeniería social

  1. Guía práctica para entender los ataques de ingeniería social
  2. Consejos para evitar ser víctima del fraude del CEO y otros intentos de suplantación
  3. Phishing as a Service: Kits para robar dinero y datos a empresas
  4. Malvertising, cuando los anuncios son una trampa
  5. ¿Qué es el envenenamiento SEO?
  6. Ataque de caza de ballenas, cuando los delincuentes se creen el capitán Ahab
  7. La estafa del código QR y el quishing: ¡Ojo con lo que escaneas!
  8. Ofertas de trabajo fake. Cuando una oportunidad laboral se torna en pesadilla
  9. Fraudes de Clickbait: La curiosidad estafó al gato