La ingeniería social es un tipo ataque, en su mayoría informático o telefónico, hacia un usuario, con la intención de recolectar información personal y/o confidencial mediante el engaño.
Este engaño consiste en aparentar ser una persona o entidad que nos pueda ser conocida para poder sustraernos información sin que nos resulte extraño.
Un ejemplo podría ser un e-mail en el que veamos que nuestro supuesto banco nos pide la contraseña de nuestra cuenta para actualizar los protocolos de seguridad, cuando en realidad ese e-mail lo está enviando un ciberdelincuente o hacker haciéndose pasar por nuestro propio banco.
Características de la ingeniería social
La ingeniería social, aunque pueda parecer que está orientada a usuarios o personas individuales, se puede aplicar en masa gracias a su carácter digital. Si bien puede ser vía telefónica, es la menos recurrente, pero a su vez, la más peligrosa y difícil de detectar.
Sólo el 2% de la población sabe lo que quiere y cómo lo va a conseguir ¿y tú?
Tu dinero = tu tiempo + tu talento. A lo último, te ayudamos nosotros.
Mejora tu conocimiento en finanzas aprendiendo de los mejores profesionales, con cursos efectivos y entretenidos.
La calidad de la ingeniería social varía según el objetivo. Si se orienta a nivel corporativo o empresarial, el ataque será más elaborado y será más difícil su detección. Este método es usado también por distintos países a nivel mundial para obtener información en forma de espionaje.
Por tanto, si has sido víctima de este tipo de ataques o no, al tener un componente muy alto de camuflaje frente a lo conocido, es muy difícil detectar si hemos sido víctimas o no de un ataque hasta que no nos hayamos percatado de alguna consecuencia derivada de este.
Métodos y técnicas de la ingeniería social
Si recopilamos los tipos de ataques que se pueden dar fruto de la ingeniería social nos podemos encontrar con las siguientes vías:
- Internet: Un caso frecuente es el ya mencionado correo electrónico en el cual se da una suplantación de identidad para que facilitemos datos vía Internet.
- Telefónico: En este caso, se trata de una llamada telefónica en la cual se podrían hacer pasar por una empresa privada (banco, compañía de Internet, etc) o por un organismo público (policía, Hacienda, etc).
- SMS: Usan la misma técnica que vía Internet, pero de forma más directa, siendo algo más rudimentario.
- Correo postal: Este es el caso menos frecuente. Se trata de usar una carta en la cual el delincuente espera una respuesta con datos personales vía correo postal, o por otras vías. Suele funcionar como entrada a otra vía, ya sea Internet, telefónico o SMS.
- Buceo en basura: Es una técnica muy específica. Normalmente se utiliza cuando el delincuente conoce bien al objetivo y lo que puede extraer de este de la basura que desecha.
- En persona: Sin duda, la más complicada de todas. Esta técnica la podríamos catalogar prácticamente como una práctica de espionaje.
En definitiva, para poder protegernos y evitar situaciones en las que nos puedan afectar este tipo de ataques, podríamos prevenir con sistemas de antivirus; verificando datos de mail del emisor, su número de teléfono o su dirección postal antes de facilitar información en la primera toma de contacto; triturando o quemando documentos sensibles; y desconfiar de personas que no conozcamos desde hace un tiempo prudencialmente amplio, respectivamente.
