De acuerdo con la definición del INCIBE, que es el organismo público que vela por la ciberseguridad en España, la «ingeniería social es una técnica que emplean los ciberdelincuentes para ganarse la confianza del usuario y conseguir así que haga algo bajo su manipulación y engaño«.
El objetivo sería recabar datos confidenciales como contraseñas e información bancaria, ya sea para apropiarse directamente de fondos, acumular datos personales para su posterior venta a terceros, poder acceder a redes y sistemas, realizar secuestros de informaciones críticas sobre los negocios y sus clientes para reclamar posteriormente un rescate; o incluso con la finalidad de espiar a grandes multinacionales, organizaciones globales o gobiernos.
Las técnicas de ingeniería social están diseñadas para conectar con las emociones humanas más primarias, como el miedo, el deseo, el ánimo de lucro e incluso lo que se denomina como síndrome FOMO (Fear of Missing Out), esto es la aprensión a estar perdiéndose algo que a los demás les está resultando gratificante.
La aplicación de técnicas de ingeniería social no es exclusiva de los ciberdelincuentes, ya que la apelación a nuestro sustrato emocional para desencadenar una acción determinada ha sido una característica de la publicidad prácticamente desde sus orígenes, y es uno de los principales vectores del marketing actual. E incluso, en otros ámbitos como el periodismo supone la base principal de las estrategias de clickbait. Si bien, obviamente, en ninguno de estos campos habría una intencionalidad maliciosa explícita ni un riesgo directo equivalente al de los ciberataques.
Asimismo, pese a que el término de ingeniería social también se ha utilizado a la hora de definir ciertas políticas en determinados regímenes de naturaleza utópica-totalitaria, lo cierto es que sus significados no son nada equivalentes, ya que los ciberdelincuentes no aspiran a una transformación radical de la sociedad.
Técnicas psicológicas de la ingeniería social
Aunque las técnicas de engaño están en mutación constante, sí que podemos detectar una serie de manipulaciones recurrentes usadas por los ciberdelincuentes como palancas psicológicas con las que conseguir sus objetivos.
Pretexting
La técnica del Pretexting consiste en la creación de una situación falsa que sirve de pretexto para que el destinatario del mensaje ofrezca una información sensible.
El ejemplo más claro sería el típico email fraudulento supuestamente enviado por nuestro banco alertando de la necesidad de proporcionar de manera urgente datos de la cuenta o de la tarjeta para evitar que se bloquee el acceso.
Baiting
Si el pretexting apela al miedo y a la inseguridad humanas en un ámbito tan importante como el financiero, el Baiting se enfoca en la expectativa de beneficio para conseguir información del usuario o que se descargue un software malicioso.
Esta técnica tiene como mantra recurrente el ‘consigue acceso gratuito y sin restricciones‘, pudiendo poner como cebo plataformas de streaming, videojuegos online e incluso softwares populares.
Quid Pro Quo
Los humanos tenemos arraigado un principio psicológico de reciprocidad que ha resultado básico para nuestra supervivencia como especie y para poder vivir y evolucionar en sociedad. Algo que aprovechan los ciberdelincuentes para conseguir, por ejemplo, que sus víctimas les den las claves de cuentas para poder comprobar si su equipo tiene virus y eliminarlos.
Para ello, juegan con el sentido de reciprocidad pero también con el propio miedo a las amenazas cibernéticas, buscando nexos de credibilidad como una operativa lenta de los equipos, una escasa autonomía de batería, etc.
Ciberataques basados o apoyados por la ingeniería social
Si ampliamos el foco, y lo ponemos en las distintas modalidades de ciberataques que emplean ingeniería social tendríamos los siguientes.
Phishing
El phishing tiene como canal preferente el email y objetivo es la ‘pesca’ de datos con fines fraudulentos. Puede emplear cualquiera de las técnicas de ingeniería social descritas para conseguir que el usuario pinche en un enlace a un sitio web, que suplanta a otro legítimo, para dejar allí sus datos sensibles.
Podemos distinguir entre un phishing genérico orientado a la ‘pesca de arrastre‘ de cualquier usuario, y otro denominado Spear Phishing en el que se crean engaños personalizados para llegar a un objetivo concreto, con la vista puesta por ejemplo en acceder a los sistemas de una empresa, una administración, etc.
Ataque de suplantación de identidad o Spoofing
En este tipo de ciberataques se suplantan a instituciones, empresas o personas legítimas, bajo el gancho de un engaño de cualquier índole que implica una acción inmediata del usuario, cuya materialización permitirá a los ciberdelincuentes el acceso a datos críticos, redes, sistemas, etc.
Ataques de Watering Hole
Los ataques de Watering Hole son muy sofisticados y suelen tener un objetivo muy concreto, como por ejemplo acceder a los sistemas de una determinada compañía. Con este propósito se infecta con un malware una web que los ciberdelincuentes hayan detectado que sea de visita recurrente por parte de un miembro o varios del personal de la organización, para conseguir que el software malicioso sea descargado en el equipo desde el que se ha accedido, tomar control del mismo y hacerse con la información confidencial de la compañía.
Aquí, pese a que la ingeniería social no sería el componente principal del ciberataque, puede desempeñar un papel para que su ejecución sea efectiva, por ejemplo a la hora de seleccionar el momento en el que infectar el sitio web, pongamos por caso un viernes a última hora de la jornada laboral cuando el personal tiende a hacer tareas más sencillas, como puede ser visitar un portal con cierta relación con su trabajo pero que no es medular para su cometido diario.
Scareware
El Scareware se articula también a través de un software malicioso. El método de ingeniería social empleado en estos casos se puede calificar como metatécnica, ya que apela al miedo a que la computadora haya sido infectada por un virus, ofreciendo una falsa solución que conlleva la instalación de malware.
Ataques de Ransomware
Como hemos destacado en post anteriores de este blog, los ataques de ransomware para secuestrar y cifrar información crítica de las organizaciones y pedir un rescate por ella son los que tienen un potencial más devastador, al repercutir sobre la operativa normal de negocios o administraciones y servicios públicos, dejar expuestos datos de terceros y abonar la existencia de crisis reputacionales capaces de acabar con una empresa.
Los ataques de ransomware pueden aprovechar vulnerabilidades de los sistemas, o bien articularse mediante técnicas de ingeniería social como las que hemos visto que den como resultado la descarga de un archivo infectado o el clic en un enlace que instale el ransomware.
El reto de una ingeniería social en continua mutación y sofisticación
Un rasgo distintivo de los ciberataques que emplean técnicas de ingeniería social es su carácter adaptativo, para aprovechar elementos coyunturales que pueden ser desde el espíritu navideño hasta el fervor por ChatGPT.
Y además se sofistican y aumentan cada día, un proceso que puede acelerarse todavía más con la Inteligencia Artificial y sus posibilidades de automatización, que permiten incrementar la complejidad y la escala de engaños. Sin perder de vista tampoco que nuevas realidades como el multiverso también suponen una fuente de nuevas oportunidades para los ciberdelincuentes.
Por todo ello, es importante poner tanto énfasis en la concienciación, y si hablamos de un contexto empresarial esta ha de venir de la mano de la formación y la preparación del personal de las empresas.
Las técnicas de ingeniería social tienen como objetivo el vector humano por ser el más débil de los tres que conforman la ciberseguridad de una organización: la tecnología, los procesos de trabajo y las personas.
Por ello, resulta fundamental mentalizar a todos los miembros de cualquier empresa que las ciberamenazas son un riesgo real, cercano y tangible, que de materializarse puede abocar a la extinción de la organización, y por tanto a la pérdida de su puesto de trabajo. Pero no solo habrá que concienciarlos, sino darles también la formación y las herramientas necesarias para que puedan poner de su parte para que no ocurra ninguna catástrofe.
