Ingeniería social: así actúa la ciberdelincuencia

¿En qué piensas cuando piensas en ciberdelincuencia? Personas solitarias manejando potentes ordenadores, hackers descifrando códigos, programando sofisticados virus para penetrar en los sistemas más seguros de la Tierra… La cultura popular ha creado una imagen del ciberdelincuente que parece propia de la ciencia ficción. Pero a veces, la ciberdelincuencia no tiene tanto de ciber como podríamos pensar. Lo que sí tiene, y mucho, es de psicología; esto viene a llamarse ingeniería social. 

Qué es la ingeniería social en ciberseguridad

En el sector de la seguridad informática, la ingeniería social se define como la suma de técnicas deshonestas que se utilizan para obtener datos sensibles individuales o penetrar en sistemas, redes o cuentas, cometiendo de este modo ciberdelincuencia

La ingeniería social, muchas veces, no tiene nada de sofisticado. Las tácticas que utilizan los criminales para colarte estafas online, o para desplumar tus cuentas, son tan viejas como el timo de la estampita. Todas ellas se apoyan en una realidad: tu cerebro no puede mantener la atención sobre todas las cosas todo el tiempo. Es decir, los hackers del siglo XXI no buscan brechas en el antivirus de tu ordenador, sino en tu atención. 

Los sesgos cognitivos

El ser humano ha conquistado el planeta gracias al cerebro, pero no es un órgano perfecto. Nuestra mente acostumbra a tomar atajos, que denominamos sesgos cognitivos. La mayoría de los sesgos cognitivos facilitan nuestra vida, ayudándonos a tomar decisiones rápidas. Pero tienen su cara oculta: el 90% de los ciberataques se deben a fallos humanos

Lo explicamos: si una serpiente posee los colores negro y rojo de la serpiente coral, cualquier animal la evitará. Esto se debe a que el instinto de protección ha quedado inserto en su genética: los especímenes que se acercaban a una serpiente coral para comprobar si era venenosa, normalmente morían sin dejar descendencia. Pero, ¿esos colores siempre indican peligro? No. De hecho, hay otra serpiente, la falsa coral, que se ha aprovechado evolutivamente de poseer un patrón cromático parecido al de su pariente letal. Ningún mamífero se aproxima a comprobar si ese bicho es una coral verdadera o falsa. 

En nuestra vida cotidiana, suceden cosas parecidas. Si, en nuestra oficina, vemos un hombre vestido de mono gris y con una caja de herramientas interesándose por los aires acondicionados, lo normal es que no lo cuestionemos: nuestro cerebro toma el atajo y decide que es un técnico de mantenimiento. Pues bien, este es uno de los disfraces que utilizan muchos ciberdelincuentes para colarse en edificios de empresa y acceder a ordenadores, robar claves, o dejar pendrives infectados con malware. 

Esto es un sesgo cognitivo, en concreto, se llama sesgo de representatividad

Sesgos cognitivos que se aprovechan en ingeniería social

  • Sesgo de representatividad: como hemos explicado en el caso de la serpiente coral o del encargado de mantenimiento, se trata de clasificar un elemento en una categoría simplemente porque comparte algunos atributos con otro (la falsa coral es venenosa porque se parece a la coral). 
  • Sesgo de marco: es la tendencia del cerebro humano a descartar información que considera superflua; por ejemplo, ignorar el dominio desde el que se nos envía un correo electrónico, que parece de tu banco, pero que resulta ser phishing. 
  • Sesgo de punto ciego: cuando la confianza nos invade y pensamos que nunca vamos a ser víctimas de un ciberataque, y por eso incurrimos en conductas inseguras, como no conectar el salvapantallas cuando abandonamos nuestro puesto (dejándolo en manos de falsos encargados de mantenimiento). 
  • Sesgo de disponibilidad: dar por veraz algo que nos resulta meramente familiar; por ejemplo, confiar en la identidad de una persona que nos envía un enlace por email, solo porque afirma haber estado en un evento en el que nosotros también hemos estado (lo cual sabe porque lo hemos publicado en redes sociales). 
  • Sesgo de confirmación: el que nos impulsa a dar por cierta cualquier información que confirme nuestra posición sobre algo; por ejemplo, descargar un enlace inseguro solo porque el mail que lo contiene dice que nos ha tocado un premio (que realmente deseamos).
  • Sesgo de anclaje: dar por válida la primera impresión que algo nos causa, y tomarla como referencia para juzgar todas las demás; por ejemplo, fijarse, antes que nada, en el logotipo de una conocida empresa que encabeza un e-mail fraudulento. 

Modos de hackear tu mente

A partir de estos sesgos cognitivos, los ciberdelincuentes idean técnicas para atrapar a sus víctimas. Muchas de ellas parecen burdas, pero si se repiten con descaro un número suficiente de veces, el número de personas que caen en sus redes les compensa el esfuerzo. 

Por ejemplo, ¿aún te preguntas quién se traga el timo del mail del heredero nigeriano? Pues alguien con muy poco sentido crítico y un gran sesgo de confirmación, pues quiere creer que va a ser rico. Hay pocos, pero el envío es masivo; por tanto, si el 0,5% de las personas que reciben ese mail pican el anzuelo, los beneficios están servidos. 

Otro truco habitual de la ciberdelincuenciaque practica la ingeniería social es la suplantación de la identidad. El whaling, o fraude del CEO, consiste en solicitar a un empleado las claves de sus equipos informáticos, haciéndose pasar por un importante directivo a través de un mail (phising) o de una llamada (vishing). Para resultar convincente, el ciberdelincuente tan solo se servirá de un par de datos, probablemente recogidos en las redes sociales del suplantado. Y se ayudará del sesgo cognitivo de disponibilidad que se genera la mente del empleado: ¿qué pasa si es mi CEO de verdad y no le obedezco? Una vez se obtienen las claves, se puede bloquear toda la red de la empresa y pedir una recompensa. 

El sesgo de anclaje es aprovechado en muchos casos de phising. Por ejemplo, el reportado por una compañía cuyos empleados recibieron un mail de Apple, perfectamente maquetado, para pedir que cambiaran sus contraseñas. Era un correo fraudulento y muchos de esos empleados, que se dejaron llevar por la primera impresión, dieron acceso a los cibercriminales.

Un caso real de uso del sesgo de representatividad  sucedió en una convención de empresas en las que unos cibercriminales repartieron pendrives gratuitos, serigrafiados con el membrete de una conocida ONG. Los USB estaban cargados con un malware que contaminó los ordenadores de muchas de las empresas presentes en la convención. 

Los sesgos también pueden combinarse, por supuesto. Cuando recibes un sms en el que se te anuncia que tienes un paquete sin entregar en Correos, los sesgos de representatividad y anclaje se combinan con el de confirmación (realmente, quieres tener un paquete esperándote en Correos). Pero resulta que es un mensaje fraudulento, y el enlace que contiene te transmite un virus o te solicita tus datos bancarios. 

Consejos para evitar la ingeniería social

Ante la debilidad del cerebro humano, no hay antivirus ni cortafuegos que valga. Lo único que sirve para la ingeniería social, una de las técnicas más usadas en la ciberdelincuencia, es la prevención, la formación y nunca bajar la guardia

Es muy importante educar la mirada de los usuarios y entrenarlos en la sospecha. Cuando recibes una comunicación demasiado buena para ser verdad, debes fijarte en los detalles: el dominio del mail desde el que te llega, el teléfono que te envía ese sms… Recuerda que la serpiente coral se diferencia de la falsa coral solamente en el orden de sus colores.

Debes hacerte muchas preguntas: ¿Por qué a alguien se le caería un USB en el aparcamiento de una empresa de banca online? ¿Por qué mi jefe me llama desde Skype en lugar de utilizar su móvil? ¿Por qué Apple me pide que cambie la contraseña, en lugar de pedírmelo el departamento de IT de mi empresa? 

Una vez que tu pensamiento crítico está en marcha, además debes reforzarlo con las conductas habituales: 

  • Contraseñas seguras. 
  • Salvapantallas activo. 
  • No entrar en redes wifi públicas.
  • Usar RRSS con responsabilidad. 
  • No descargar nada de sitios sospechosos.
  • No pulsar en enlaces de mensajes de desconocidos.

Y ese etcétera que ya conoces. 

Si te ha interesado este artículo te recomendamos:

Calendario fiscal 2023: fechas clave por mes

Calendario laboral de 2023: ¿qué findes largos y festivos habrá este año?

¿Qué es el Blue Monday?

Estos son los trabajadores que recibirán un extra de 1.000 euros en su nómina por el ajuste del IRPF