Según los expertos, los ataques de ingeniería social son muy difíciles de identificar, pues los ciberdelincuentes usan diferentes técnicas psicológicas y sociales, distintos tipos de dispositivos y plataformas para engañar a las personas, por lo que hasta la fecha no se han desarrollado herramientas informáticas para proteger de la ingeniería social a los usuarios de redes sociales.
Se llama ingeniería social a las diferentes técnicas de manipulación que usan los ciberdelincuentes para obtener información confidencial de los usuarios. Engañan a sus víctimas haciéndose pasar por otra persona. Por ejemplo, se hacen pasar por familiares, personas de soporte técnico, compañeros de trabajo o personas de confianza. El objetivo de este engaño es apropiarse de datos personales, contraseñas o suplantar la identidad de la persona engañada.
Los ciberdelincuentes manipulan y engañan a las personas por medio de:
- Lamadas telefónicas
- Visitas personales al domicilio de las personas
- Aplicaciones de mensajería instantánea
- Correos electrónicos
- Redes sociales
Para cometer sus ataques los ciberdelincuentes se hacen pasar por un familiar, un conocido o un compañero de trabajo. Abordan a los usuarios con diferentes motivos engañosos:
- Ofrecen a la víctima premios o promociones únicas y limitadas a cambio de sus datos.
- Se hacen pasar por el técnico de la empresa o por la persona responsable de sistemas.
- Invitan a completar formularios para ganar un premio o un producto.
- Ofrecen actualizaciones de navegadores o aplicaciones a través de páginas falsas.
Las técnicas de ingeniería social más utilizadas, son:
Vishing: obtienen información a través de una llamada telefónica. El ciberdelincuente se hace pasar por un familiar, personal de una empresa o de soporte técnico.
Phishing: envían correos electrónicos falsos para obtener información de la víctima. Por ejemplo, pueden solicitar datos personales, de tarjetas de crédito, de la obra social, de actualización laboral, contraseñas de sistemas, etc.
Dispositivos maliciosos: dejan colocado un pendrive con contenido malicioso en una computadora pública y este dispositivo obtiene información de la persona que la utiliza.
Spear phishing: envían un correo electrónico falso a alguien que tiene, por ejemplo, un determinado cargo o maneja información sensible en una empresa. Los delincuentes conocen a la persona e intentan robarle datos.
Concursos falsos: informan a la persona que ha ganado un premio para obtener información personal.
Farming: realizan varias comunicaciones con las víctimas hasta conseguir la mayor cantidad de información posible.
Robo de cuentas de correos electrónicos: roban cuentas reales para cometer ilícitos entre los contactos de la víctima, enviar software malicioso o para obtener información personal.
Utilización de la Inteligencia Artificial (IA) para cometer estafas a través de la ingeniería social
Con el avance de la IA, las técnicas utilizadas por los ciberdelincuentes para manipular a las personas y hacer que revelen información confidencial se han vuelto más sofisticadas y efectivas:
Phishing personalizado: la IA analiza datos de redes sociales para crear correos electrónicos de phishing muy convincentes, dirigidos a individuos específicos.
Deepfakes y suplantación de identidad: los deepfakes son vídeos, imágenes o archivos de voz manipulados con software de inteligencia artificial para parecer reales y auténticos. Los ciberdelincuentes pueden usarlos para extorsionar, cometer fraude o manipular a las víctimas para que realicen acciones perjudiciales.
Chatbots maliciosos: que interactúan con las víctimas de manera muy convincente para obtener datos sensibles y cometer fraude.
Evolución de Patrones: los algoritmos de aprendizaje automático pueden estudiar y aprender de los sistemas de detección de fraudes, adaptando sus técnicas para evadir la detección.
Los principales consejos para protegernos de la ingeniería social, son:
- No entregar datos personales a personas extrañas por teléfono, correos electrónicos o redes sociales.
- Configurar la privacidad en las redes sociales para que no queden expuestos los datos personales.
- Informarse y aprender sobre este tipo de amenazas.
- Usar contraseñas seguras.
- Configurar la autenticación en dos pasos para estar alerta de accesos indebidos a las cuentas.
- Prestar atención a cualquier persona que solicite información personal.