ingeniería social

Según las definiciones formales, la Ingeniería Social consiste en persuadir a una persona para influenciar sus actuaciones, es decir, convencer a las personas para que realicen una determinada acción. Este método de manipulación está proliferando como medio no técnico de ejecución de ciberataques, puesto que es la vía perfecta para “saltarse” todos los controles internos establecidos o medidas preventivas periféricas, dado que finalmente es un usuario autorizado el que ejecuta la acción.

La ingeniería social utilizada para el ciberataque puede realizarse por numerosas vías. A veces se trata de un email engañoso (phishing), una suplantación de identidad o una llamada de un desconocido que aprovecha nuestra confianza o falta de lo contrario, para solicitarnos información. Generalmente la petición inicial es a cambio de algo, una promesa que generalmente nunca llegará, y posteriormente se nos suele pedir una acción como por ejemplo una transferencia de dinero, envío de credenciales o documentación. Esta práctica puede tomar infinidad de formas, pero la dinámica siempre es similar.

El éxito de la ingeniería social se origina en nuestra naturaleza humana y forma de pensar y actuar, que puede definirse en una serie de características generalmente aplicables:

  • Todos tenemos la predisposición a ayudar; por ello habitualmente se nos solicita un favor al principio del fraude
  • Primamos la confianza en el interlocutor; lo que nos distrae de comprobaciones básicas como el remitente de los emails
  • Intentamos siempre no decir NO; y esto es aprovechado por los ciberdelicuentes para que el usuario autorizado se salte controles o niveles de autorización establecidos
  • Nos gusta ser alabados; lo cual saben aprovechar los ingenieros sociales más habilidosos

Entonces, ¿qué podemos hacer para prevenir una herramienta como la ingeniería social que hace que cualquier medida de ciberseguridad resulte casi inútil? La mejor herramienta es el sentido común, aunque a veces es el menos común de los sentidos. Por ello, existen varias medidas complementarias que nos pueden ayudar en la prevención de ciberataques mediante esta metodología:

  • Promover la desconfianza frente a la confianza como premisa, tanto en el continente como el contenido. Es fundamental comunicar a todos los usuarios de la entidad la importancia de revisar los remitentes de los emails y los números de teléfono entrantes, así como comprobar que las páginas web donde se introduzcan datos de acceso son las correctas.
  • Establecer normas sobre cómo y a quién transmitir datos sensibles como la ausencia de personal en la oficina, números de teléfono móvil, claves de acceso, cuentas bancarias, situaciones financieras, incluso para comunicaciones internas debe determinarse una vía segura para transmitir cierta información.
  • Instalar y mantener actualizados los software de seguridad con antivirus, antiphishing, antimalware, para minimizar los riesgos de recibir emails fraudulentos o descargas maliciosas.
  • Comunicar siempre las amenazas detectadas para que los demás usuarios aprendan de las experiencias de sus compañeros, sobre todo en los casos de engaño mediante archivos adjuntos o descargas.

Está demostrado que el componente humano es el más delicado de todo el sistema de información. Por ello, los programas de ciberseguridad deben poner prioridad en la formación y concienciación continua de sus usuarios, tanto para mejorar su capacidad para analizar las situaciones que se les presenten como para que prime en sus actuaciones la precaución y desconfianza inicial. Con todo esto se puede mitigar considerablemente el riesgo de caer en la peligrosa trampa de la ingeniería social.

Andrea Duque

Consultora RSC y Buen Gobierno