La ingeniería social es el arte de manipular a las personas para que revelen información confidencial o realicen acciones que comprometan la seguridad de un sistema informático.
Es una forma de ataque que se basa en la psicología humana y no en la tecnología. Los ingenieros sociales aprovechan la curiosidad, la confianza, el miedo, la codicia, la simpatía o la ignorancia de sus víctimas para obtener acceso a datos sensibles, contraseñas, cuentas bancarias, tarjetas de crédito o incluso instalaciones físicas.
La seguridad informática es el conjunto de medidas, técnicas y procedimientos que tienen como objetivo proteger los sistemas informáticos de amenazas externas o internas, ya sean accidentales o intencionadas. La seguridad informática abarca aspectos como la confidencialidad, la integridad, la disponibilidad, la autenticación y la no repudiación de la información. La seguridad informática se basa en la tecnología, pero también en la educación, la concienciación y la responsabilidad de los usuarios.
Tipos de ingeniería social
Existen diferentes tipos de ingeniería social según el medio, el objetivo y la técnica que se utilicen. Algunos de los más comunes son:
- Phishing: Consiste en enviar correos electrónicos falsos que simulan ser de una entidad legítima, como un banco, una empresa o una institución, con el fin de engañar al destinatario para que haga clic en un enlace malicioso, descargue un archivo adjunto infectado o proporcione información personal o financiera. El phishing puede tener fines de robo de identidad, fraude, extorsión o espionaje.
- Vishing: Es una variante del phishing que se realiza mediante llamadas telefónicas. El atacante se hace pasar por un representante de una entidad legítima, como un banco, una empresa o una institución, y trata de convencer al interlocutor para que revele información confidencial o realice una acción que comprometa su seguridad, como transferir dinero, proporcionar un código de verificación o instalar un software malicioso.
- Baiting: Consiste en dejar un dispositivo de almacenamiento, como un USB, un CD o un DVD, en un lugar público o accesible, con la esperanza de que alguien lo conecte a su ordenador por curiosidad o por interés. El dispositivo contiene un programa malicioso que se ejecuta al ser insertado y que puede infectar el sistema, robar datos, abrir una puerta trasera o realizar otras acciones maliciosas.
- Quid pro quo: Consiste en ofrecer un beneficio o una recompensa a cambio de información o de una acción. Por ejemplo, el atacante puede llamar a una empresa y ofrecer soporte técnico gratuito a cambio de que el empleado le proporcione su nombre de usuario y contraseña, o le permita acceder a su ordenador de forma remota. El atacante puede aprovechar esta oportunidad para instalar un software malicioso, obtener información sensible o realizar otras acciones maliciosas.
- Pretexting: Consiste en crear una historia o una excusa falsa para obtener información o para acceder a un lugar. Por ejemplo, el atacante puede llamar a una empresa y hacerse pasar por un auditor, un cliente, un proveedor o un empleado, y solicitar información confidencial o documentos, o pedir que le abran la puerta o le dejen entrar en una zona restringida. El atacante puede utilizar esta información o este acceso para realizar otras acciones maliciosas.
Medidas de prevención y protección
La ingeniería social es una amenaza seria para la seguridad informática, ya que puede eludir los sistemas de defensa basados en la tecnología, como los antivirus, los cortafuegos o los cifrados. Por ello, es necesario adoptar medidas de prevención y protección que se basen en la educación, la concienciación y la responsabilidad de los usuarios. Algunas de estas medidas son:
- Verificar la identidad y la legitimidad de las personas y las entidades que solicitan información o que ofrecen servicios. No confiar en el correo electrónico, el teléfono o la apariencia física, sino comprobar otros datos, como el dominio, el número, el logotipo o la credencial. En caso de duda, contactar con la entidad por otro medio o consultar con una fuente fiable.
- No hacer clic en enlaces, descargar archivos adjuntos o proporcionar información personal o financiera sin estar seguro de su procedencia y de su finalidad. Desconfiar de los mensajes que contengan errores ortográficos, gramaticales o de formato, que soliciten información urgente o confidencial, que ofrezcan beneficios o recompensas excesivas o que generen emociones negativas o positivas. En caso de duda, eliminar el mensaje o consultar con una fuente fiable.
- No conectar dispositivos de almacenamiento desconocidos o sospechosos al ordenador. Desconfiar de los dispositivos que se encuentren en lugares públicos o accesibles, que tengan etiquetas o inscripciones llamativas o que contengan archivos o carpetas con nombres extraños o atractivos. En caso de duda, no conectar el dispositivo o consultar con una fuente fiable.
- No revelar ni compartir contraseñas, códigos de verificación, datos bancarios o tarjetas de crédito con nadie. Utilizar contraseñas seguras, diferentes y únicas para cada cuenta o servicio, y cambiarlas periódicamente. No escribir las contraseñas en papel, en el ordenador o en el teléfono, sino utilizar un gestor de contraseñas. No enviar las contraseñas por correo electrónico, por teléfono o por redes sociales, sino utilizar un canal seguro y cifrado. No introducir las contraseñas en sitios web que no sean de confianza o que no tengan un protocolo seguro (https).
- No dejar el ordenador, el teléfono o el dispositivo desbloqueado o desatendido. Utilizar un sistema de bloqueo automático o manual que requiera una contraseña, un código, una huella o un patrón para acceder al dispositivo. No permitir que otras personas usen el dispositivo sin supervisión. No almacenar información sensible o confidencial en el dispositivo, sino utilizar un servicio de almacenamiento en la nube o un dispositivo externo cifrado. No conectarse a redes wifi públicas o desconocidas, sino utilizar una red privada o una VPN.
La ingeniería social y la seguridad informática son dos conceptos que están estrechamente relacionados, ya que la primera es una forma de ataque que puede comprometer la segunda. La ingeniería social se basa en la manipulación psicológica de las personas para obtener información o realizar acciones que afecten a la seguridad de un sistema informático.
La seguridad informática se basa en la tecnología, pero también en la educación, la concienciación y la responsabilidad de los usuarios. Para prevenir y protegerse de la ingeniería social, es necesario verificar la identidad y la legitimidad de las personas y las entidades, no hacer clic en enlaces, descargar archivos o proporcionar información sin estar seguro, no conectar dispositivos desconocidos o sospechosos al ordenador, no revelar ni compartir contraseñas o datos sensibles con nadie, y no dejar el dispositivo desbloqueado o desatendido. Estas medidas pueden ayudar a evitar o minimizar los riesgos y los daños que puede causar la ingeniería social.