Es un método no técnico de intrusión que se basa fuertemente en la interacción humana y a menudo incluye el engaño de personas para violar su privacidad.

De manera que no hay antivirus o firewall que valga, puesto que la ingeniería social parte de la premisa que en todo sistema de seguridad, el usuario es el eslabón más débil. 

¿Qué busca la ingeniería social?

El principal objetivo de la ingeniería social es obtener información que resulte útil para el atacante, como datos para acceder a sistemas, o incluso a nuestras cuentas de redes sociales, correo electrónico, números de tarjetas de crédito y toda aquella información que en conjunto permita al atacante descifrar contraseñas. Por ello es que utiliza diferentes métodos para persuadir a la víctima valiéndose de cualquier medio que esté a su alcance. 

La ingeniería social se basa, principalmente, en estos principios:

Todos queremos ayudar. Por naturaleza, los seres humanos, mostramos empatía por el dolor o sufrimiento ajeno. Esto lo sabe muy bien el atacante y por ello suelen comenzar una conversación contando una historia que nos haga sentir la necesidad de ayudar.

El primer movimiento es siempre el de confianza hacia el otro. Así como solemos sentir el dolor ajeno, también suele existir muchas personas que desconfían de los desconocidos y por ello, los atacantes recurren a brindar información personal, muchas veces falsa, con el fin de comenzar una relación de confianza de parte de la víctima hacia ellos.

No nos gusta decir “no”. ¿A quién no le ha pasado que le ofrecen algo y por no decir “no” directamente lo termina aceptando? Este es un recurso que utilizan muchos atacantes para lograr un primer acercamiento con las víctimas.

A todos nos gusta que nos alaben. Cuando se trata de comenzar una conversación, los elogios siempre funcionan. Muchas veces terminamos regalando una sonrisa aunque sea forzada a un completo desconocido. Cuando esto nos ocurra debemos estar muy alerta porque puede que se trate del inicio de un ataque de ingeniería social.

Estos principios son aplicados por los métodos de ingeniería social más usados como el Phishing, el SMSishing, y el Clickbait. 

Phishing

Este es el método más usado por el atacante y utiliza el correo electrónico como medio para cometer el fraude. Consiste en imitar la apariencia de una empresa o servicio legítimo para convencer al usuario de ingresar sus credenciales de acceso. A partir de lo cual puede acceder a nuestra cuenta bancaria y perpetrar un robo.

Afortunadamente, este método es fácil de detectar, pues solo tenemos que hacer algunas comprobaciones antes de hacer clic en cualquier enlace que recibamos por correo electrónico. En primer lugar, los mensajes de phishing suelen incluir muchas faltas de ortografía, por otro lado, también nos llevan a sitios fraudulentos que con solo leer la dirección URL podremos saber si se trata de un sitio legítimo o no.

SMiSishing

De forma similar al phishing, el SMiShing, como su nombre lo indica, utiliza los mensajes de texto convencionales para comunicarse con la víctima y redirigirla a un sitio web fraudulento. En los últimos años, y con el uso de apps de mensajería como WhatsApp, este método se ha convertido en uno de los más peligrosos puesto que utiliza la libreta de direcciones del usuario para esparcirse. 

Clickbait

Este recurso, ampliamente utilizado en las redes sociales para llamar la atención ha llegado a convertirse en la manera más fácil de engañar. Basta con usar una imagen con un título ingenioso para conseguir que el usuario haga clic para redirigirlo a una web fraudulenta o un enlace de descarga de algún tipo de malware que robe los datos que tengamos, en muchos casos, en nuestro dispositivo móvil o computadora.

Estos son solo algunos de los métodos de los que se vale la ingeniería social, pero que nos permiten hacernos una idea de lo que podemos esperar al navegar por internet o simplemente usar nuestro correo electrónico. 

En conclusión, cada vez es más frecuente encontrarnos con ataques de phishing o clickbait, por ello es que es tan importante conocer la manera en que funcionan y tomar las medidas de prevención que hagan más difícil acceder a nuestra información personal.