Ingeniería social

La ingeniería social es un tipo ataque, en su mayoría informático o telefónico, hacia un usuario, con la intención de recolectar información personal y/o confidencial mediante el engaño.

Este engaño consiste en aparentar ser una persona o entidad que nos pueda ser conocida para poder sustraernos información sin que nos resulte extraño.

Un ejemplo podría ser un e-mail en el que veamos que nuestro supuesto banco nos pide la contraseña de nuestra cuenta para actualizar los protocolos de seguridad, cuando en realidad ese e-mail lo está enviando un ciberdelincuente o hacker haciéndose pasar por nuestro propio banco.

Características de la ingeniería social

La ingeniería social, aunque pueda parecer que está orientada a usuarios o personas individuales, se puede aplicar en masa gracias a su carácter digital. Si bien puede ser vía telefónica, es la menos recurrente, pero a su vez, la más peligrosa y difícil de detectar.

La calidad de la ingeniería social varía según el objetivo. Si se orienta a nivel corporativo o empresarial, el ataque será más elaborado y será más difícil su detección. Este método es usado también por distintos países a nivel mundial para obtener información en forma de espionaje.

Por tanto, si has sido víctima de este tipo de ataques o no, al tener un componente muy alto de camuflaje frente a lo conocido, es muy difícil detectar si hemos sido víctimas o no de un ataque hasta que no nos hayamos percatado de alguna consecuencia derivada de este.

Métodos y técnicas de la ingeniería social

Si recopilamos los tipos de ataques que se pueden dar fruto de la ingeniería social nos podemos encontrar con las siguientes vías:

• Internet: Un caso frecuente es el ya mencionado correo electrónico en el cual se da una suplantación de identidad para que facilitemos datos vía Internet.
• Telefónico: En este caso, se trata de una llamada telefónica en la cual se podrían hacer pasar por una empresa privada (banco, compañía de Internet, etc) o por un organismo público (policía, Hacienda, etc).
• SMS: Usan la misma técnica que vía Internet, pero de forma más directa, siendo algo más rudimentario.
• Correo postal: Este es el caso menos frecuente. Se trata de usar una carta en la cual el delincuente espera una respuesta con datos personales vía correo postal, o por otras vías. Suele funcionar como entrada a otra vía, ya sea Internet, telefónico o SMS.
• Buceo en basura: Es una técnica muy específica. Normalmente se utiliza cuando el delincuente conoce bien al objetivo y lo que puede extraer de este de la basura que desecha.
• En persona: Sin duda, la más complicada de todas. Esta técnica la podríamos catalogar prácticamente como una práctica de espionaje.

En definitiva, para poder protegernos y evitar situaciones en las que nos puedan afectar este tipo de ataques, podríamos prevenir con sistemas de antivirus; verificando datos de mail del emisor, su número de teléfono o su dirección postal antes de facilitar información en la primera toma de contacto; triturando o quemando documentos sensibles; y desconfiar de personas que no conozcamos desde hace un tiempo prudencialmente amplio, respectivamente.