La ingeniería social es un conjunto de técnicas que usan los cibercriminales para engañar a los usuarios. Los objetivos principales son: el robo de datos confidenciales, la infiltración de malware en ordenadores o sistemas y la apertura de enlaces a sitios infectados.
Una ciberestafa que aprovecha los sesgos cognitivos
La ingeniería social se beneficia de los sesgos cognitivos de las personas. El término genérico de sesgo cognitivo alude a los errores sistemáticos de pensamiento y percepción y que determinan las decisiones de los seres humanos. Cada vez que una persona percibe, recapacita, juzga o recuerda, ese mecanismo del pensamiento está afectado por presuposiciones inconscientes.
Por desgracia, hay muchos sesgos cognitivos que las personas malintencionadas pueden aprovechar para obtener datos personales y financieros de las víctimas. Por ejemplo, la tendencia humana de confiar en personas amables, atractivas o con alguna autoridad puede usarse en su contra en ataques de ingeniería social.
Además, las técnicas de ingeniería social aprovechan esta tendencia de confianza en los demás. En 2018, las estafas de phishing en alquileres vacacionales fueron tan habituales que la Comisión Federal de Comercio de Estados Unidos advirtió sobre ellas.
¿Por qué es tan peligrosa la ingeniería social?
A menudo, las víctimas no se dan cuenta de que están siendo manipuladas. Cuando lo hacen ya es demasiado tarde y el delincuente ha accedido a los datos confidenciales que buscaba. Si bien los sesgos cognitivos pueden favorecer la adaptabilidad, también es verdad que pueden usarse en contra. Los ataques de ingeniería social buscan información privada de los usuarios, lo cual puede conducir al robo de identidad, al fraude de identidad e incluso a las extorsiones, entre otros actos delictivos.
Además, en este tipo de estafas no solo peligra el dinero que la persona estafada tenga en su cuenta bancaria. En ocasiones puede provocar que la reputación en internet se vea afectada y se desmorone, llegándose a acumular incluso deudas en nombre de la víctima. Aunque es posible revertir y solucionar este tipo de situaciones, pueden pasar semanas de gestiones interminables con empresas y organismos para limpiar el nombre. Usar un software antivirus ayuda, pero no consigue ahuyentar a los timadores. Por tanto, la mejor manera de protegerse frente a este tipo de ataques es aprender a reconocerlos.
Estrategias de la ingeniería social
- Precepto de la bondad universal. Es común facilitar datos personales a una persona desconocida, simplemente porque nos los ha pedido, creyendo que sus motivaciones son honradas.
- Precepto de la sumisión a la autoridad. En nuestra sociedad altamente organizada, estamos acostumbrados a que personas desconocidas nos den órdenes sobre lo que debemos hacer, por ejemplo, en aeropuertos, en organismos públicos, en hospitales, en museos. Esto es válido para el mundo digital, en el que un ‘experto’ puede emular una posición de autoridad para extraernos información.
- Precepto del estatus por proximidad. Basta que un amigo o compañero de trabajo nos presente a una persona, para que creamos en su bondad «por proximidad» o «por persona interpuesta». Esto puede desembocar en una ciberestafa posterior.
- Precepto de las máquinas todopoderosas. Para determinadas personas, se debe obedecer de inmediato toda orden que llegue a través del artilugio admirable que es un ordenador, incluyendo la aportación de contraseñas o información confidencial.
- Precepto de la colaboración mutuamente beneficiosa. Si un ciberdelincuente asume la identidad de un experto informático, puede alega que para reiniciar un sistema necesita tener las contraseñas de todos sus usuarios, logrando que una o varias víctimas consideren que ayudar es práctico y favorable para todos.
Archivado en: