En un sentido más amplio, cualquier tipo de manipulación asociada a la psicología del comportamiento humano puede considerarse ingeniería social. Sin embargo, el concepto en sí no siempre está asociado con actividades delictivas o fraudulentas. De hecho, la ingeniería social es ampliamente utilizada y estudiada en diversos campos, como las ciencias sociales, la psicología y el marketing.

Cuando se trata de ciberseguridad, la ingeniería social tiene motivos ocultos y se refiere a una serie de acciones maliciosas en forma de manipulación de las actividades de las personas para obtener información personal o confidencial que luego puede usarse contra ellos o su empresa. El fraude de identidad es una consecuencia común de estos ataques y en muchos casos resulta en pérdidas financieras significativas.

La ingeniería social a menudo se presenta como una amenaza cibernética, pero el concepto existe desde hace mucho tiempo y el término también puede usarse para referirse a estafas de la vida real que generalmente implican hacerse pasar por un funcionario gubernamental o un profesional de TI. Sin embargo, la llegada de Internet ha hecho que a los piratas informáticos les resulte mucho más fácil llevar a cabo manipulaciones a mayor escala y, lamentablemente, estas actividades maliciosas también se producen en el entorno de las criptomonedas.


¿Cómo funciona esto?

Todos los tipos de ingeniería social se basan en debilidades de la psicología humana. Los estafadores utilizan las emociones humanas para manipular y engañar a sus víctimas. El miedo, la codicia, la curiosidad e incluso la voluntad de ayudar a los demás de las personas se vuelven contra ellas de diversas maneras. Entre los muchos tipos de ingeniería social maliciosa, el “phishing” es sin duda uno de los ejemplos más comunes y conocidos.

Phishing

Los correos electrónicos de phishing a menudo pretenden ser de una empresa real, como una red bancaria nacional, una tienda en línea confiable o un proveedor de correo electrónico. En algunos casos, estos correos electrónicos clonados alertarán a los usuarios de que su cuenta necesita una actualización o mostrarán una actividad inusual, exigiéndoles que proporcionen información personal como una forma de verificar su identidad para poder poner su cuenta en orden. Por miedo, algunas personas hacen clic rápidamente en los enlaces y terminan en un sitio web falso, donde proporcionan la información que los atacantes necesitan.

antivirus falso

También se utilizan métodos de ingeniería social para distribuir los llamados falsos antivirus. Como sugiere el nombre, un antivirus fraudulento es un tipo de malware diseñado para intimidar y sorprender a los usuarios. Esto generalmente se asocia con notificaciones de amenazas falsas que intentan engañar a las víctimas para que instalen software malicioso aparentemente legítimo o accedan a un sitio web que infecta su sistema. Esta técnica a menudo se basa en el miedo de los usuarios a poner en riesgo su sistema, convenciéndolos así de hacer clic en un banner web o una ventana emergente. Los mensajes suelen decir algo como: "Su sistema está infectado, haga clic aquí para eliminar la amenaza".

Carnada

El cebo es otra técnica de ingeniería social que causa problemas a muchos usuarios distraídos. Implica el uso de varios señuelos para atraer a las víctimas en función de su codicia o curiosidad. Por ejemplo, los estafadores pueden crear un sitio web que ofrezca algo gratis, como música, vídeos o libros. Pero para acceder a estos archivos, los usuarios deben crear una cuenta proporcionando su información personal. En algunos casos, no se requiere una cuenta porque los archivos están directamente infectados con malware, que se infiltra en el sistema informático de la víctima y recopila sus datos confidenciales.

Este patrón también puede ocurrir fuera de la navegación por Internet, gracias al uso de unidades USB y discos duros externos. Los estafadores pueden dejar deliberadamente los dispositivos infectados en un lugar público, por lo que cualquier curioso que los recoja para comprobar su contenido acabará infectando su ordenador personal.


Ingeniería social y criptomonedas

Una mentalidad codiciosa puede tener consecuencias bastante importantes en lo que respecta a los mercados financieros, dejando a los comerciantes e inversores especialmente vulnerables a ataques de phishing, esquemas Ponzi, esquemas piramidales y otros tipos de estafas. En la industria blockchain, el entusiasmo generado por las criptomonedas atrae a muchos recién llegados al medio en un período de tiempo relativamente corto (especialmente durante los mercados alcistas).

Aunque muchas personas no entienden completamente cómo funcionan las criptomonedas, a menudo escuchan sobre el potencial de este mercado para generar ganancias y, en última instancia, invertir sin realizar la investigación adecuada. La ingeniería social es especialmente importante para los principiantes, ya que a menudo quedan atrapados en su propia codicia o miedo.

Por un lado, el deseo de los novatos de obtener ganancias rápidamente y ganar dinero fácil, en última instancia, los obliga a realizar falsas promesas de obsequios y lanzamientos aéreos. Por otro lado, el temor a que sus datos personales se vean comprometidos puede motivar a los usuarios a pagar un rescate. En algunos casos, no se produce ninguna infección de ransomware (también conocido como ransomware) y los usuarios son víctimas de una señal o mensaje falso creado por piratas informáticos.


Cómo prevenir un ataque de ingeniero social

Como ya hemos mencionado, los ataques sociales sólo funcionan porque apelan a nuestra naturaleza humana. Por lo general, utilizan el miedo como motivador principal, lo que incita a las personas a actuar de inmediato para protegerse (o proteger su sistema) de una amenaza grave. Los ataques también se basan en la codicia humana, lo que atrae a las víctimas a diversos tipos de estafas de inversión. Por lo tanto, es importante tener en cuenta que si una oferta parece demasiado buena para ser verdad, lo más probable es que esté siendo estafado.

Si bien algunos estafadores son bastante sofisticados en esto, otros cometen errores visibles. Algunos correos electrónicos de phishing e incluso banners falsos suelen contener errores de sintaxis o redacción y sólo son efectivos para quienes no prestan suficiente atención a la gramática y la ortografía, así que tenga cuidado.

Para evitar convertirse en víctima de un ingeniero social, debe cumplir con las siguientes medidas de seguridad:

  • Consulta a familiares y amigos. Infórmeles sobre casos comunes de ingeniería social maliciosa y principios básicos de seguridad;

  • Tenga cuidado con los archivos adjuntos en correos electrónicos y enlaces. No acceda a anuncios ni sitios de una fuente desconocida;

  • Instale un antivirus confiable y actualice periódicamente sus aplicaciones y sistema operativo;

  • Utilice siempre la autenticación multifactor para proteger sus cuentas, correo electrónico y otros datos. Configure la autenticación de dos factores (2FA) para su cuenta de Binance;

  • Para empresas: considere preparar a sus empleados para identificar y prevenir ataques de phishing y esquemas de ingeniería social.


Conclusión

Los ciberdelincuentes buscan constantemente nuevas y mejores formas de engañar a los usuarios para que roben sus fondos e información confidencial, por lo que es importante ser consciente de esto y notificar a otros. Internet proporciona un espacio para este tipo de estafadores, y son especialmente comunes en el espacio de las criptomonedas. Tenga cuidado y esté atento para no caer en la trampa del ingeniero social.

Además, cualquiera que decida comerciar o invertir en criptomonedas debe realizar una investigación previa y asegurarse de tener una buena comprensión tanto de los principios del mercado como de los aspectos de la tecnología blockchain.

¡Estén atentos y no olviden consultar nuestros otros artículos y videos en Binance Academy!