La ingeniería social abarca distintas modalidades de estafa, donde los delincuentes a través de la manipulación de emociones como el miedo y la confianza, engañan a sus víctimas para robar datos personales, tener acceso a información, equipos, contraseñas, y hasta suplantar a las personas. ¿Ha recibido llamadas o mensajes de texto, mensajes por redes sociales o correos electrónicos atípicos donde le piden información sensible, privada o que ingrese a páginas y ejecute archivos? ¡Cuidado! Podría ser víctima de phishing, smishing, vishing y cualquier otra clase de fraude telefónico o virtual hecho con ingeniería social.
Los datos son el oro del siglo XXI. En esta época, la información se ha convertido en el activo más importante de las personas, instituciones y empresas. El nombre completo, el número de cédula o su fecha de expedición, la dirección de residencia o del trabajo, la información familiar y cualquier otro dato personal por sencillo o irrelevante que parezca, en las manos equivocadas puede ser la puerta de entrada para estafas y dolores de cabeza.
Colombia fue el segundo país de Latinoamérica con más ciberataques durante el 2022, con 20 000 millones de intentos, de acuerdo con el informe anual de la empresa tecnológica IBM, Índice de inteligencia de amenazas de X-Force. Ese año, se realizaron 54 121 denuncias por ciberdelitos, (cifras al tercer trimestre de 2022), según la Cámara Colombiana de Informática y Telecomunicaciones, CCIT. Estas cifras son un reflejo del impacto de esta modalidad criminal en el contexto nacional.
La naturaleza humana como arma
En este ámbito, el triángulo de la seguridad se concibe para proteger personas, procesos y tecnologías. Siendo las personas el eslabón más débil de esta cadena. Se le consultó a la inteligencia artificial Chat GPT por qué la ingeniería social es una práctica tan eficaz para cometer delitos cibernéticos, a lo cual contestó: “Es una técnica efectiva porque se basa en la naturaleza humana y su tendencia a confiar en otras personas”.
El líder del Grupo de Investigación UNSecurelab, de la Universidad Nacional de Colombia, Jorge Eliecer Camargo Mendoza, explica que la ingeniería social usa la psicología y otros factores para ganar la confianza y extraer información importante, que posteriormente será usada para algún ataque.
“Esto data de años atrás, incluso antes de la llegada del internet. Anteriormente se usaba el teléfono como medio o vector para estos ataques, este es el término con el que se conocen los instrumentos por los cuales pueden llegar los delincuentes a extraer información. Posteriormente con el internet los vectores de ataque empezaron a cambiar por el uso de otro tipo de tecnologías y aplicaciones que permiten realizar una mayor aproximación a la víctima”, agrega el Doctor en ingeniería con énfasis en inteligencia artificial.
Con la aparición de estos nuevos vectores, surgieron términos como los ciberataques y los ciberdelincuentes. El ingeniero electrónico y especialista en seguridad de la información, Juan Carlos Serna Agudelo, señala que la ingeniería social usa un conjunto de técnicas que se aprovechan de las emociones y necesidades del ser humano, incluso de sus falencias, para obligar o persuadir a una persona a que realice una acción o entregue información confidencial.
“Algunos ciberataques empiezan o se complementan con algún tipo de ingeniería social. Son acciones maliciosas que tienen como fin perjudicar a una persona o empresa, son llamados así porque se hacen a través de medios tecnológicos, normalmente redes de computadores o internet y se traducen en una pérdida reputacional o económica”. También explica que quienes los ejecutan se llaman atacantes, “al que popularmente se ha conocido como hacker, pero este es un término indebido porque los hackers también trabajan en la protección de los datos”.
La ingeniería social también abarca el engaño de manera presencial. El sociólogo y profesor asociado de la Universidad de Antioquia, Omar Alonso Uran Arenas, enfatiza que este concepto que tiene orígenes en la sociología, hace referencia a la planeación y el manejo de la sociedad desde la política, la economía, la cultura, entre otros.
“Está relacionado con el diseño de redes sociales y los recursos colectivos que están insertos en ellas, empezando por el recurso de la confianza, y a partir de allí otros más clásicos como bienes, servicios y dinero. Se apropiaron del concepto ingeniería social y lo operativizaron con fines criminales, debido a que lo que más se utiliza para los mecanismos de fraude, es transmitir confianza o algo serio, esto es muy importante para iniciar interacciones de negocios”.
Uran, quien también es doctor en Planeación urbana y regional, añade que los estafadores se aprovechan de las flexibilidades del sistema para ganarse a los usuarios, a partir de una marca que proyecte respaldo y solidez, de esta manera, las personas bajan la guardia.
“Esa confianza entra a interactuar con ciertos deseos o expectativas que tienen las víctimas, así las seducen, uno de estos ejemplos fueron las pirámides, como DMG. El robo de datos también implica una explotación de ciertos desconocimientos y descuidos que la población tiene con respecto a las estrategias que tienen los delincuentes”.
El ABC de las estafas
Debido a la cantidad de modalidades de robo de información o de dinero a través de la ingeniería social, han surgido una serie de términos que para la mayoría pueden ser confusos e impronunciables. De acuerdo con el diseñador de ciberseguridad, Juan Carlos Serna, una de las modalidades más antiguas para el robo de información es el shoulder surfing, donde el delincuente se ubica detrás de la víctima para observar sus datos, mientras los está digitando o ingresando en algún equipo.
Phishing y sus variantes smishing y vishing, son los ataques más populares o conocidos actualmente en el mundo. El phishing se hace a través de correo electrónico, donde el ciberdelincuente aparenta ser de alguna empresa o entidad pública, este mensaje falso contiene enlaces maliciosos con el objetivo de robar la identidad, dinero o información con solo hacer un clic.
El smishing usa mensajes de texto cortos que llegan a los celulares. Por lo general, esta falsa notificación advierte sobre problemas con alguna entidad bancaria o beneficios ganados, incitando a la víctima a ingresar a un enlace adjunto que una vez abierto, ejecuta el robo o la acción. El vishing, es una estafa a través de llamada telefónica, donde se suplanta la identidad de una empresa u organización o persona, para obtener información personal o dinero.
“En el pharming, el atacante redirige a los usuarios de un sitio web legítimo a uno falso, para el robo de datos. El Tabnabbing / Tabnabbing reverso, es un ataque a sitios web donde se toma el control del navegador y se reemplaza o modifica la pestaña original para redirigir al usuario a sitios fraudulentos. El scareware busca asustar o engañar a las personas haciéndoles creer que su computador o dispositivo ha sido infectado con un malware o software malicioso. El delincuente influencia al usuario para que compre un malware disfrazado de software de seguridad y así proceder con el robo”, señala Serna.
El BEC, Business Email Compromise, busca obtener acceso a cuentas de correos electrónicos institucionales o corporativos, para suplantar a jefes o empleados de alto nivel y estafar a socios, subalternos y clientes. Por su parte, el Tailgating es una violación de seguridad, que se aprovecha de la cortesía humana, el ejemplo más común es sujetar la puerta a un desconocido para que ingrese a cierto lugar. El ransomware, es el secuestro de información, donde se pide rescate por la misma, o esta será publicada.
A través del Baiting la víctima encuentra una memoria USB con un software malicioso que al insertarla infectará su equipo. En la Suplantación de DNS o envenenamiento de caché DNS, los nombres de dominio de las páginas web son ligeramente alterados para redirigir a uno malicioso que suplanta al original. Mientras que el honeytrap usa el deseo sexual del usuario para ganarse su confianza a través de un perfil falso y hacer que divulgue información privada.
“Déficit de educación con principios de prudencia”
El profesor del Departamento de Ingeniería de Sistemas e Industrial de la UNAL Bogotá, Jorge Camargo Mendoza, explica que los ciberdelincuentes todo el tiempo están creando formas de robar; pero, hay comportamientos de los usuarios que contribuyen a las estafas.
“Publicar la vida privada en redes sociales; el uso y descargas de software pirata, música o películas; la descarga de aplicaciones gratuitas para computadores y celulares que originalmente son pagas pero que fueron modificadas para incorporarle funcionamiento malicioso y liberarlas de forma gratuita por los atacantes. Debemos evitar dar clic sobre enlaces o archivos adjuntos que lleguen a nuestros correos electrónicos provenientes de remitentes desconocidos, mirar si estos mensajes tienen errores ortográficos o de redacción, revisar también el dominio del correo electrónico y si este es de una entidad o es una cuenta que cualquiera pudo crear. Cuando alguien nos escriba o llame pidiendo dinero, se recomienda buscar otro canal de comunicación para comprobar que sea esta la persona. Es muy importante estar pendiente de las noticias, redes sociales y de los boletines relacionados con los ciberataques que la ciudadanía ha denunciado y que son explicados en la página del Observatorio del Cibercrimen de la Policía Nacional”.
Aunque en Colombia la Ley de Protección de Datos Personales y la Ley de Habeas Data buscan regular el tratamiento de información privada de las personas, para el diseñador de ciberseguridad, Juan Carlos Serna, la reglamentación en estos temas en el mundo siempre va un paso atrás de la tecnología y estas nuevas modalidades, lo que aumenta la problemática. A esto, se suma la llegada de la inteligencia artificial y distintas herramientas que permiten la suplantación de voz e imagen de las personas.
“Desde el ámbito empresarial, es necesaria la clasificación de la información y tener un back up de la misma, apoyarse en las políticas de ciberseguridad de las entidades regulatorias, el cifrado de información en reposo y cuando se transmite, controlar el acceso por parte de los empleados a la información y una cultura de ciberseguridad para que se maneje la información de manera adecuada. Para el caso de los usuarios, se sugiere tener instalados antivirus legales, gestores contraseñas, evitar las conexiones en redes públicas, revisar muy bien los permisos que se otorgan a las aplicaciones descargadas y ser muy desconfiado”.
Para el sociólogo Omar Uran, caer en este tipo de estafas parte, además, de un déficit de educación con principios de prudencia. “La mayoría de personas adolece de una educación que le ofrezca herramientas de inteligencia para interactuar en estos ambientes que son potencialmente dañinos y peligrosos, hay un déficit de educación sobre todo en principios de prudencia, como decían los adultos mayores en Antioquia, falta de malicia. También hay poco conocimiento para distinguir cuando un correo o página web es falsa. Necesitamos estrategias de pedagogía social masivas, que ayuden a las personas primero a formar ese hábito de cuidarse digitalmente, que se tenga consciencia de cómo relacionarse y sobre la huella o el rastro digital”.
(FIN/JRDP)
2 de mayo de 2023