La Ingeniería Social tiene un papel fundamental en una gran cantidad de ciberataques, más allá de lo grande, pequeño o sofisticado que sea el crimen. De hecho, como ya observó el investigador senior de ESET David Harley en alguna ocasión anterior, siempre se ha mantenido como "una constante a lo largo de toda la historia de la seguridad de Internet".
Pero, ¿qué es exactamente? En su sentido más amplio, la Ingeniería Social se basa en la manipulación psicológica, es decir, intenta lograr que las demás personas hagan las cosas que uno quiere que hagan. Por ejemplo, podrías manipular a un policía de tránsito para evitar pagar la multa de un vehículo mal estacionado, o adular a tu empleador para obtener un aumento salarial.
En el contexto del crimen cibernético, es ampliamente descrita como un método no técnico utilizado por los cibercriminales para obtener información, realizar fraudes u obtener acceso ilegítimo a los equipos de las víctimas. La Ingeniería Social se basa en la interacción humana y está impulsada por personas que usan el engaño con el fin de violar los procedimientos de seguridad que normalmente deberían haber seguido.
La Ingeniería Social se basa en la manipulación psicológica
Los ataques de Ingeniería Social comunes incluyen correos electrónicos de phishing, vishing (llamadas telefónicas de personas que se hacen pasar por una organización respetada) y baiting (del inglés "carnada", donde el atacante carga unidades de USB con malware y luego simplemente espera que el usuario las conecte a su máquina).
La Ingeniería Social también se extiende a las búsquedas de empresas y de amigos en LinkedIn y Facebook respectivamente, donde los criminales utilizan las redes sociales para generar confianza y obtener datos. Con bastante frecuencia, el resultado final es la extorsión o el robo.
Esto incluye la práctica de robar algo pequeño para despistar y luego poder robar algo más grande, y la práctica de ingresar ilícitamente a zonas seguras aprovechando la entrada de otra persona con permiso de acceso. Hace poco, en el Reino Unido, un estafador utilizó Ingeniería Social durante su condena para escapar de prisión. Usó un teléfono móvil ilícito para crear una cuenta de correo electrónico falsa, se hizo pasar por un empleado de la suprema corte y luego envió sus "instrucciones de libertad bajo fianza" a los funcionarios de la prisión. Lo liberaron por error, pero más tarde se entregó.
Los cibercriminales utilizan estos tipos de ataques por diversos motivos, como ya explicamos. No cabe duda de que es un arma eficaz, que les permite robar credenciales privilegiadas, infectar a las personas con malware e incluso asustarlas con un scareware inútil y peligroso para que hagan un pago. La mayor parte del tiempo, su objetivo final es robar dinero y datos, o asumir la identidad de la víctima.
Es fácil de hacer y tiene un bajo costo: el reconocido consultor de seguridad Kevin Mitnick una vez dijo que era más fácil engañar a alguien para que dé su contraseña de ingreso a un sistema que hacer el esfuerzo para hackearlo.
Con todo esto en mente, a continuación mencionamos cinco aspectos que debes conocer sobre la Ingeniería Social.
1. Es física y digital
La Ingeniería Social es una antigua estafa que se manifiesta en todos los ámbitos de la vida, por lo que sería un error pensar que se trata de algo nuevo o que solo se ve en el mundo online.
De hecho, se ha utilizado en el mundo físico desde hace muchísimo tiempo. Hay numerosos ejemplos de delincuentes que se hicieron pasar por jefes del cuartel de bomberos, técnicos, exterminadores y personal de limpieza, con el único propósito de entrar en el edificio de una empresa determinada y robar secretos corporativos o dinero.
Recién mucho más tarde, en algún momento de la década de 1990, el vishing se hizo popular, seguido por el correo electrónico de phishing.
2. Su calidad es muy variable
La calidad de las estafas varía ampliamente. Por cada ingeniero social sofisticado que envía correos electrónicos de phishing iguales a los auténticos o que hace llamadas de vishing, habrá muchos otros que hablan mal el idioma, que tienen argumentos sin lógica e información confusa.
Probablemente ya te hayas cruzado con una serie de estos personajes: en los correos electrónicos dudosos de un "banco nigeriano", o en los que aseguran que ganaste la lotería en otro país: hay muchos ejemplos de intentos lamentables de fraude.
3. Los países también la usan
En un nivel mucho más elevado, los estados-nación están participando activamente en campañas de Ingeniería Social, o al menos las usan como parte de ataques mucho más sofisticados: las amenazas persistentes avanzadas (APT). Este tipo de espionaje online cumple un rol importante en los esfuerzos cibernéticos de países como los Estados Unidos y China, como lo reveló una publicación de Wired.
"Mientras que el término APT sugiere el uso de tecnología maliciosa sofisticada, los ataques APT a menudo se basan en la antigua táctica de Ingeniería Social con el fin de logar la introducción inicial en un sistema," comentó Harley recientemente.
"Cuando el objetivo del intruso es el fraude o el espionaje, preferentemente ataca el sistema de personas con un puesto alto dentro la organización, de modo de tener acceso a datos confidenciales".
4. Es probable que no te des cuenta del ataque
Lo más preocupante acerca de los ataques de este tipo es que no hay una advertencia inmediata, no hay ninguna señal clara de que te están atacando o de que tu equipo fue infectado. No aparece ninguna ventana emergente pidiendo bitcoins (como con CryptoLocker y otros tipos de ransomware), ni un anuncio de scareware que intenta convencerte para que descargues una aplicación o para que llames a un centro de servicio técnico.
La mayor parte del tiempo, los delincuentes llevan a cabo su ataque, roban los datos que buscan y luego desaparecen. Y si se trata de robo de datos, probablemente nunca te enteres de la infección, y mucho menos si tus datos se están vendiendo ilegalmente en la Dark Web.
5. Se enfoca principalmente en las empresas
La Ingeniería Social afecta a todos, pero los estafadores la utilizan cada vez más para atacar las grandes corporaciones y las PyME: 2014 se describió como el año en que los cibercriminales pasaron al sector empresarial.
Un informe de la industria de principios de 2015 reveló que se está usando la Ingeniería Social para atacar específicamente a los mandos medios y altos ejecutivos. La razón es porque son como una "mina de oro", explicó en aquel entonces Richard De Vere, consultor de Ingeniería Social y pentester en The AntiSocial Engineer Limited.
"Si estás preparando un correo electrónico de phishing, LinkedIn es una mina de oro de donde puedes sacar los datos de los mandos medios y altos ejecutivos", le dijo a SC Magazine. "Las herramientas automatizadas pueden hacer rápidamente una lista de cientos de direcciones de correo electrónico, con los datos de los usuarios y sus credenciales de VPN/OWA/Active Directory."