A un nivel más macro, cualquier acción relacionada con la psicología del comportamiento puede considerarse ingeniería social. Sin embargo, este concepto no siempre está relacionado con actividades delictivas o fraudulentas. De hecho, la ingeniería social se utiliza y estudia ampliamente en campos como las ciencias sociales, la psicología y el marketing.
Cuando se trata de ciberseguridad, la ingeniería social se refiere a una variedad de actividades maliciosas que intentan manipular a las personas para que se comporten mal con motivos ocultos, como robar información de identificación personal que luego puede usarse para robar información personal o confidencial de su empresa. El fraude de identidad es una consecuencia común de este tipo de ataques, lo que en muchos casos genera importantes pérdidas financieras.
A menudo se piensa que la ingeniería social es una amenaza cibernética, pero el concepto existe desde hace mucho tiempo y el término también puede asociarse con fraudes en el mundo real, que a menudo implican hacerse pasar por un auditor o un experto en TI. Sin embargo, la llegada de Internet ha facilitado que los piratas informáticos lleven a cabo ataques de manipulación a mayor escala y, lamentablemente, estas actividades maliciosas también ocurren en el espacio de las criptomonedas.
¿Como funciona?
Todos los tipos de ingeniería social se basan en debilidades de la psicología humana. Los estafadores utilizan las emociones para manipular y engañar a sus víctimas. Se aprovechan de los miedos, la avaricia, la curiosidad e incluso de su voluntad de ayudar a los demás. Entre varios comportamientos maliciosos de ingeniería social, el phishing es uno de los casos más comunes y conocidos.
Suplantación de identidad
Los correos electrónicos de phishing suelen imitar correos electrónicos de empresas legítimas, como bancos nacionales, cadenas de tiendas, tiendas en línea de buena reputación o proveedores de correo electrónico. En algunos casos, estos correos electrónicos fraudulentos advierten a los usuarios que sus cuentas necesitan actualizarse o que se ha producido una actividad inusual, pidiéndoles que proporcionen información personal para confirmar su identidad y administrar sus cuentas. Por miedo, algunos usuarios hacen clic inmediatamente en el enlace y navegan a un sitio web falso, proporcionando a los delincuentes los datos que necesitan. En este punto, la información estará en manos de piratas informáticos.
software de amenazas
También se utilizan técnicas de ingeniería social para difundir el llamado scareware. Como sugiere el nombre, el malware es un tipo de malware diseñado para intimidar y amenazar a los usuarios. A menudo implican la creación de alertas falsas en un intento de engañar a las víctimas para que instalen software fraudulento que parezca legítimo o para engañar a los usuarios para que visiten sitios web con el fin de infectar sus sistemas. Esta técnica generalmente se basa en el temor de los usuarios de que sus sistemas hayan sido comprometidos, lo que los persuade a hacer clic en banners web o ventanas emergentes. Estos mensajes suelen decir: "Su sistema está infectado, haga clic aquí para limpiarlo".
engañar
El phishing es otra forma de ingeniería social que causa problemas a muchos usuarios desprevenidos. Por lo general, explotan la avaricia o la curiosidad del usuario para atraer a las víctimas. Por ejemplo, un estafador podría crear un sitio web que ofrezca contenido gratuito, como archivos de música, vídeos o libros. Para acceder a estos archivos, los usuarios normalmente necesitan crear una cuenta y proporcionar su información personal. En algunos casos, es posible que no sea necesario crear una cuenta, ya que los archivos descargados también pueden infectarse directamente con malware que invadirá el sistema informático de la víctima y recopilará sus datos confidenciales.
En la vida real, el phishing también se puede lograr mediante el uso de almacenamiento USB y discos duros externos. Los estafadores pueden dejar intencionalmente un dispositivo infectado en un lugar público, atrayendo a personas curiosas para que lo revisen y vean su contenido, infectando en última instancia sus computadoras personales.
Ingeniería social y criptomonedas
Una mentalidad codiciosa puede ser muy peligrosa cuando se trata de mercados financieros, y los comerciantes e inversores son particularmente vulnerables al phishing, los esquemas Ponzi y piramidales, y otros tipos de estafas. En la industria blockchain, la atención generada por las criptomonedas ha atraído a muchas personas nuevas al campo en un período de tiempo relativamente corto (especialmente durante el mercado alcista).
Aunque muchas personas no entienden completamente cómo funcionan las criptomonedas, a menudo escuchan noticias sobre el potencial del mercado para generar enormes ganancias e invertir a ciegas sin realizar una investigación adecuada. La ingeniería social es especialmente preocupante para los principiantes porque a menudo quedan atrapados por su propia codicia o miedo.
Por un lado, el deseo de obtener ganancias rápidas y ganar dinero hará que los novatos persigan beneficios falsos y crean en promesas de lanzamiento aéreo. Por otro lado, los usuarios pueden temer que sus archivos privados se vean comprometidos y pagar el rescate. En algunos casos, los usuarios simplemente son engañados mediante alertas o mensajes falsos creados por piratas informáticos y en realidad no están infectados por ransomware.
Cómo prevenir ataques de ingeniería social
Como se mencionó anteriormente, las estafas de ingeniería social solo funcionan porque explotan las debilidades humanas. A menudo utilizan el miedo como motivador, incitando a las personas a tomar medidas inmediatas para protegerse a sí mismas (o a sus sistemas) de una amenaza irreal. Algunos ataques de ingeniería social también se basan en la codicia humana para atraer a las víctimas a diversos tipos de estafas de inversión. Por eso es importante recordar que si una oferta parece demasiado buena para ser verdad, probablemente sea una estafa.
Si bien algunos estafadores son sofisticados, los atacantes promedio cometen errores obvios. Los títulos de algunos correos electrónicos de phishing y de malware suelen contener errores gramaticales u ortográficos, que normalmente sólo engañan a los incautos, así que tenga cuidado.
Para evitar ser víctima de un ataque de ingeniería social, debes prestar atención a las siguientes medidas de seguridad:
Edúcate a ti mismo, a tu familia y a tus amigos. Enséñeles ejemplos comunes de ingeniería social maliciosa y presénteles los principios clave de seguridad.
Tenga cuidado al manipular archivos adjuntos y enlaces de correo electrónico. Evite hacer clic en anuncios y sitios web de fuentes desconocidas;
Instale software antivirus original para mantener actualizados sus aplicaciones de software y su sistema operativo;
Si desea proteger sus credenciales de inicio de sesión de correo electrónico y otros datos personales, utilice una solución de autenticación multifactor. Como configurar la autenticación de dos factores (2FA) para su cuenta de Binance.
Para las empresas: los empleados deben estar capacitados para identificar ataques de ingeniería social para prevenir ataques de phishing y de ingeniería social.
Pensamientos resumidos
Los ciberdelincuentes siempre están buscando nuevas formas de engañar a los usuarios con el objetivo de robarles dinero e información confidencial, por lo que es importante informarse a sí mismo y a quienes lo rodean. Internet proporciona un refugio seguro para este tipo de estafas, que son particularmente comunes en el espacio de las criptomonedas. Así que tenga cuidado y esté atento para evitar caer en trampas de ingeniería social.
Además, cualquiera que decida comerciar o invertir en criptomonedas debe realizar una investigación suficiente de antemano para asegurarse de tener una buena comprensión del mercado y los mecanismos de funcionamiento de la tecnología blockchain.