La ingeniería social es una de las formas de ataque informático más sofisticado, efectivo y por otro lado inadvertido que se conoce. Normalmente se puede atacar un sitio web de muchas formas, entre otras ejecutando complejos programas de rastreo de contraseñas, aprovechando errores del software, por ejemplo, de nuestro eCommerce, o bien mediante la fuerza bruta.
Sin embargo, la mejor manera para que un atacante acceda a nuestros servidores y nos robe información confidencial es, como concepto, muy simple: basta con que el atacante consiga que su objetivo le dé todos los datos que necesita, sin darse cuenta y sin sospechar siquiera que le han abierto la puerta de su negocio a un hacker.
Pero, ¿de verdad puede alguien conseguir que le dé mi contraseña?
Sí, es posible y en esencia es muy sencillo. No tenemos por qué ser una gran empresa con muchos activos o con información confidencial para atraer a los amigos de lo ajeno. Basta con que tengamos algo de valor o que puedan sacarnos dinero de algún modo, por ejemplo haciéndose pasar por un proveedor conocido, para conseguir que se hagan transferencias de dinero a números de cuentas gestionados por los ladrones.
Las técnicas para conseguir información sin utilizar herramientas, por decirlo así, son muy variadas. Por ejemplo, «el email de un amigo«: si alguien consigue acceso a nuestro correo podrá disponer de información sensible, de acceso a redes sociales o servicios, y por supuesto acceso a nuestros contactos.
A partir de ahí se pueden enviar correos electrónicos con enlaces maliciosos, archivos adjuntos con malware, etc. La viabilidad de esta técnica se basa en que nuestros contactos recibirán mensajes de nuestra parte, con lo cual pueden llegar a confiar en dichos correos electrónicos.
Sin duda, el escenario de ingeniería social más conocido es el phishing, es decir, cuando recibimos un mensaje de correo electrónico, mensajería instantánea, comentario o mensaje de texto que parece provenir de una empresa, banco, escuela o institución legítima y popular. Nos parecerá un mensaje legítimo, pero el objetivo es el robo de nuestros datos personales, como la clave de acceso a la banca electrónica, o la clave de acceso al backoffice de nuestro negocio.
Cómo evitar cualquier ataque de ingeniería social
- No actuar por impulso. Los atacantes se basan en la posibilidad de que actuemos antes de pensar, algo que puede suceder si el engaño está lo suficientemente elaborado. Por eso, ante una urgencia, ante un intento de que hagamos algo a toda prisa… mejor esperar, reflexionar, y revisarlo todo con mucha atención.
- Siempre hay que buscar la evidencia. ¿Recibiste un mensaje no solicitado? ¿Es de alguien conocido, de un proveedor, de la empresa que te proporciona el software? Revisa cuidadosamente el contenido, qué te piden, por qué pueden hacerlo… Si tienes sospechas, contacta con el supuesto emisor a través de las vías oficiales (nunca respondiendo al mensaje).
- Elimina toda petición de información como una contraseña, información financiera o información privada. Ningún banco solicita información privada por email, y además, nunca es necesario.
- Nunca respondas a peticiones u ofrecimientos de ayuda. Una compañía legítima no contacta con nadie para ofrecer ayuda sin solicitud previa. Si no hemos iniciado una consulta nosotros, lo mejor es eliminar directamente el mensaje.
- Por último, jamás hemos de seguir un enlace desde un email dudoso, aunque se trate de un mensaje enviado por un amigo, un cliente o un proveedor. Todos esos mensajes suelen tener ingredientes más que suficientes como para hacer que salten tus alarmas. Ni de desconocidos, ni de clientes, ni de proveedores.
Nos encantará conocer tu opinión, pero primero tenemos que indicarte que los comentarios están moderados, y no aparecerán inmediatamente en la página al ser enviados. Evita, por favor, las descalificaciones personales, los comentarios maleducados, los ataques directos o ridiculizaciones personales, o los calificativos insultantes de cualquier tipo, sean dirigidos a los autores, a cualquier otro comentarista o la empresa propietaria de esta página. Estás en tu perfecto derecho de comentar anónimamente, pero por favor, no utilices el anonimato para decirles a las personas cosas que no les dirías en caso de tenerlas delante. Intenta mantener un ambiente agradable en el que las personas puedan comentar sin temor a sentirse insultados o descalificados. No comentes de manera repetitiva sobre un mismo tema, y mucho menos con varias identidades o suplantando a otros comentaristas. También, procura que tus opiniones estén relacionadas con lo que se comenta en esta entrada. Los comentarios off-topic, promocionales, o que incumplan todas estas normas básicas serán eliminados.