Sitio informativo sobre CARDANO en ESPAÑOL

Ingeniería social

¿Qué es la ingeniería social?

En un sentido amplio, cualquier tipo de manipulación vinculada a la psicología del comportamiento puede considerarse ingeniería social. Sin embargo, el concepto no siempre está relacionado con actividades delictivas o fraudulentas. De hecho, la ingeniería social está siendo ampliamente utilizada y estudiada en una variedad de contextos, en campos como las ciencias sociales, la psicología y el marketing.

Cuando se trata de ciberseguridad, la ingeniería social se realiza con motivos ocultos y se refiere a un conjunto de actividades maliciosas que intentan manipular a las personas para que tomen acciones equivocadas, tales como entregar información personal o confidencial que puede ser utilizada posteriormente en su contra o en la de su empresa. El fraude de identidad es una consecuencia común de este tipo de ataques y en muchos casos conduce a pérdidas financieras significativas.

La ingeniería social se presenta a menudo como una amenaza cibernética, pero el concepto existe desde hace mucho tiempo, y el término también puede utilizarse en relación con esquemas fraudulentos del mundo real, donde usualmente involucra la suplantación de instituciones o especialistas en tecnologías de la información. Sin embargo, el surgimiento de internet hizo mucho más fácil para los hackers realizar ataques de manipulación a mayor escala y, desafortunadamente, estas actividades maliciosas también están teniendo lugar en el contexto de las criptomonedas.

¿Cómo funciona?

Todos los tipos de técnicas de ingeniería social se basan en las debilidades de la psicología humana. Los estafadores se aprovechan de las emociones para manipular y engañar a sus víctimas. El miedo, la codicia, la curiosidad e incluso la voluntad de ayudar a los demás se vuelven contra ellos a través de una variedad de métodos. Entre los múltiples tipos de ingeniería social maliciosa, el phishing es sin duda uno de los ejemplos más comunes y conocidos.

Phishing

Los correos electrónicos de phishing a menudo imitan la correspondencia de una empresa legítima, como una institución bancaria, una tienda en línea de buena reputación o un proveedor de correo electrónico. En algunos casos, estos correos electrónicos clonados advertirán a los usuarios que su cuenta necesita ser actualizada o que ha mostrado una actividad inusual, requiriéndoles que proporcionen información personal como una forma de confirmar su identidad y regularizar sus cuentas. Por miedo, algunas personas hacen clic rápidamente en los enlaces y navegan en un sitio web falso proporcionando los datos requeridos. En este punto, la información estará en manos de los hackers.

Scareware

También se aplican técnicas de ingeniería social para difundir el llamado scareware. Como su nombre indica, scareware es un tipo de malware diseñado para asustar y conmocionar a los usuarios. Típicamente involucran la creación de falsas alarmas que intentan engañar a las víctimas para que instalen un software fraudulento que parezca legítimo, o para que accedan a un sitio web que infecta su sistema. Esta técnica a menudo se basa en el miedo de los usuarios a que su sistema se vea comprometido, convenciéndolos de que hagan clic en un banner o ventana emergente. Los mensajes suelen decir algo como: «Su sistema está infectado, haga clic aquí para limpiarlo».

Baiting

Baiting es otro método de ingeniería social que causa problemas a muchos usuarios desatentos. Implica el uso de cebos para atraer a las víctimas basándose en su codicia o curiosidad. Por ejemplo, los estafadores pueden crear un sitio web que ofrece algo gratis, como archivos de música, videos o libros. Pero para poder acceder a estos archivos, los usuarios deben crear una cuenta, proporcionando su información personal. En algunos casos, no hay necesidad de una cuenta porque los archivos están directamente infectados con malware que penetrará en el sistema informático de la víctima y recopilará sus datos confidenciales.

Los esquemas de cebo también pueden ocurrir en el mundo real a través del uso de memorias USB o discos duros externos. Los estafadores pueden dejar intencionadamente dispositivos infectados en un lugar público, por lo que cualquier persona curiosa que los agarre para comprobar el contenido termina infectando su ordenador personal.

Ingeniería social y criptomonedas

Una mentalidad codiciosa puede ser bastante peligrosa cuando se trata de los mercados financieros, lo que hace que los comerciantes e inversores sean especialmente vulnerables a los ataques de phishing, a los esquemas Ponzi (o piramidales), y a otros tipos de estafas. Dentro de la industria de la cadena de bloques, el entusiasmo que generan las criptomonedas atrae a un gran número de principiantes en un período de tiempo relativamente corto (especialmente durante los mercados alcistas).

Aunque muchas personas no entienden completamente cómo funciona la criptomoneda, a menudo escuchan sobre el potencial de estos mercados para generar ganancias y terminan invirtiendo sin hacer la investigación apropiada. La ingeniería social es particularmente preocupante para los novatos, ya que a menudo se ven atrapados por su propia avaricia o miedo.

Por un lado, el afán de obtener ganancias rápidas y ganar dinero fácil lleva a los recién llegados a perseguir falsas promesas de regalos y airdrops. Por otro lado, el temor de que sus archivos privados se vean comprometidos puede llevar a los usuarios a pagar rescates, cuando en muchos casos, no existe una infección real de ransomware, y los usuarios son engañados por una falsa alarma o mensaje creado por hackers.

Cómo prevenir los ataques provenientes de la ingeniería social

Como ya se ha mencionado, las estafas de ingeniería social funcionan porque apelan a la naturaleza humana. Usualmente usan el miedo como un motivador, instando a la gente a actuar inmediatamente para protegerse a sí mismos (o a su sistema) de una amenaza irreal. Los ataques también se basan en la codicia humana, atrayendo a las víctimas a varios tipos de estafas de inversión. Por lo tanto, es importante tener en cuenta que si una propuesta parece demasiado buena para ser verdad, probablemente sea un ataque.

Aunque algunos estafadores son sofisticados, otros atacantes cometen errores notables. Algunos correos electrónicos de phishing, e incluso los banners de scareware, a menudo contienen errores de sintaxis o palabras mal escritas y sólo son efectivos contra aquellos que no prestan suficiente atención a la gramática y la ortografía – así que mantén los ojos abiertos.

Para evitar ser víctima de ataques de ingeniería social, debes considerar las siguientes medidas de seguridad:

  • Edúcate a ti mismo, a tu familia y a tus amigos. Enséñales sobre los casos comunes de ingeniería social maliciosa, e infórmales sobre los principios básicos de seguridad.
  • Ten cuidado con los archivos adjuntos de correo electrónico y los enlaces. Evita hacer clic en anuncios y sitios web de origen desconocido.
  • Instala un antivirus confiable y mantén tus aplicaciones de software y sistema operativo actualizados.
  • Utiliza las soluciones de autenticación de dos factores (2FA) siempre que puedas, para proteger tus cuentas de correo electrónico y demás datos personales.

Reflexiones finales

Los ciberdelincuentes buscan constantemente nuevos métodos para engañar a los usuarios, con el objetivo de robarles sus fondos e información confidencial, por lo que es muy importante que se eduquen a sí mismos y a los que les rodean. Internet proporciona un reducto para este tipo de estafas, y son particularmente frecuentes en el espacio de las criptomonedas. Ten cuidado y matente alerta para evitar caer en las trampas de la ingeniería social.

Por otra parte, cualquier persona que decida comerciar o invertir en criptomonedas debe hacer una investigación previa y asegurarse de tener un buen conocimiento, tanto de los mercados como de la tecnología vinculada a la cadena de bloques.