Ingeniería social: cuando las personas son la mayor amenaza

Ingeniería social: cuando las personas son la mayor amenaza Ingeniería social: cuando las personas son la mayor amenaza

JA

José Antonio Rubio

Márketing y Ventas (Núm. 146) · Márketing
Management & Innovation (Núm. 13) · Márketing

La práctica de obtener información confidencial a través de la manipulación de usuarios legítimos se conoce como “ingeniería social”, y en ella cualquier treta es válida para lograr que la “víctima” tienda al atacante un puente hacia sus datos. Como profesionales del márketing, nos interesa dar respuesta a una serie de preguntas: ¿cuáles son las últimas técnicas de ingeniería social y hasta dónde llegan los métodos utilizados por los delincuentes? ¿De qué fases consta un ataque de ingeniería social y qué consecuencias puede tener para nuestro negocio?

Muchos sistemas informáticos adolecen de brechas de seguridad que los atacantes pueden hacer públicas o explotarlas para su propio beneficio. En uno u otro caso, los ciberdelincuentes necesitan invertir una cantidad considerable de tiempo para poder atacar con éxito su objetivo. Por tanto, ¿por qué no plantearse atacar algo más sencillo, por ejemplo, la "tecnología humana"? Dicho de otro modo, ¿para qué invertir esfuerzos desmedidos en atacar a la tecnología si detrás de los sistemas hay personas que pueden ser engañadas de forma aún más fácil? Y esto es lo que ha sucedido en los últimos años, ya que la llamada "ingeniería social" ha ganado fuerza entre los hackers gracias al crecimiento de las redes sociales, los correos electrónicos y demás formas de comunicación online.

La ingeniería social, o human hacking, es una técnica de "hackeo" utilizada para sustraer información (contraseñas, cuentas bancarias o cualquier dato privado que pudiera ser de interés) a otras personas teniendo como base la interacción social, de tal manera que la persona vulnerada no se dé cuenta de cómo o cuándo dio todos los datos necesarios para terminar siendo la víctima de un ataque informático. La ingeniería social es tan vieja como el mundo, y, por desgracia, se ha convertido en uno de los métodos más efectivos para vulnerar sistemas informáticos. En esta práctica se recurre, principalmente, a la manipulación de la psicología humana mediante el engaño. Un ingeniero social sabe qué botones pulsar para conseguir que un usuario caiga en su trampa. Se inventa un contexto o una historia totalmente creíble que le permite controlar la interacción con la víctima. Llegados a este punto, quizá tendríamos que preguntarnos qué es lo que lleva a que los seres humanos seamos tan vulnerables ante el engaño. Sería muy extenso, y complicado, exponer en profundidad este tema, pero podemos abordar algunos puntos al respecto de forma sucinta. Uno de los ingenieros sociales más famosos de los últimos tiempos, Kevin Mitnick, afirma que la ingeniería social se sostiene en estos cuatro principios:

  • Todos queremos ayudar.

  • El primer movimiento es siempre de confianza hacia el otro.

  • No nos gusta decir "no".

  • A todos nos gusta que nos alaben.

Por tanto, y teniendo en cuenta estas condiciones como punto de partida, ¿cómo podemos protegernos ante un "lobo disfraz...


José Antonio Rubio

·

Director del Programa Superior de Ciberseguridad en ICEMD-Instituto de la Economía Digital de ESIC