En ciberseguridad, la ingeniería social es un concepto conocido debido a la utilización maliciosa que se hace de ella, sin embargo, puede ser utilizada para propósitos buenos o malos según sea el caso. Lamentablemente en el mundo en el que vivimos y especialmente en internet, muchos eligen usarlo maliciosamente.
Que es la ingeniería social
La Ingeniería Social la podemos definir como el acto de influir en alguien para que tome una decisión, que puede ser buena o no para su propio interés. Este acto de manipulación toma muchos elementos de la psicología, referidos especialmente como psicología oscura donde la manipulación y la percepción juegan un rol crítico, perfectos para un análisis desde tu mirada de ciberseguridad y estructuras mentales, pues juegan un rol importante y muchas veces de ello depende el éxito de una operación adversaria por parte de un actor malicioso.
- Es así como la ingeniería social, como técnica de manipulación, se vale de diferentes herramientas para actuar, algunos ejemplos básicos.
- Pretexting: Fingir una identidad para obtener información.
- Phishing emocional: Crear urgencia para robar credenciales.
- Baiting: Ofrecer algo tentador, como un dispositivo USB infectado.
Psicología oscura
Steven Turner señala que hay ocho leyes fundamentales del comportamiento humano:
1. Reciprocidad. Las personas tienden a devolver favores. Si alguien les da algo, sienten la necesidad de corresponder, lo que puede ser usado para inducir compromisos.
2. Escasez. Lo que parece limitado o exclusivo se percibe como más valioso. Esta ley se usa para crear urgencia o deseo artificial.
3. Autoridad. La gente suele obedecer a figuras que perciben como expertas o con poder. El simple uso de símbolos de autoridad puede aumentar la persuasión.
4. Compromiso y coherencia. Una vez que alguien toma una decisión o postura, tiende a actuar de forma coherente con ella, incluso si ya no es racional.
5. Prueba social. Las personas se guían por lo que hacen los demás, especialmente en situaciones de incertidumbre. “Si todos lo hacen, debe ser correcto.”
6. Simpatía. Es más probable que digamos “sí” a alguien que nos agrada. Los manipuladores suelen usar carisma o afinidad para influir.
7. Validación social. Buscamos aprobación externa para sentir que nuestras acciones son correctas. Esto puede ser usado para reforzar decisiones manipuladas.
8. Escala de valores. Las decisiones se toman comparando opciones según valores personales. Manipular la presentación de opciones puede alterar la elección.
Estos son conceptos clave de un ingeniero social debe detectar para influir sin ser percibidos como manipuladores.
Un ejemplo muy común es el uso de mensajes de texto (SMS), o últimamente, mensajes de Whatsapp para ejecutar acciones maliciosas, por ejemplo, informando que su entrega de paquetes ha fallado debido a una dirección incorrecta. Estas estafas de texto se llaman SMiSh, y casi siempre contienen un enlace para que una persona haga clic para entregar la información requerida. Es por ello que los actores maliciosos buscan permanentemente la forma de poder enviar SMS, muchas veces indiscriminadamente e incluso puede tratar de controlar la fuente de los mensajes para optimizar su proceso de estafa. Este tipo de mensajes de texto hacen uso de las técnicas de psicología oscura, por ejemplo, dando sentido de urgencia informando que si no respondes, en un periodo de tiempo, su paquete será devuelto al remitente.
Sin duda, para que un ataque de ingeniería social tenga mejores resultados, se hace una investigación previa de los actores involucrados tratando de entender y predecir su comportamiento para luego manipular sus adversarios y lograr un fin particular.
La clave está en entender el comportamiento humano.
Como protegerse
Lo primero que se puede hacer es reconocer su estado de ánimo, ya sea durante una llamada telefónica, leyendo un correo electrónico o un mensaje de texto, piensa: ¿Me afecta de alguna manera este mensaje? y ¿Tiene realmente urgencia en este mensaje?. Quitar un poco el pie del acelerador y pausar un par de segundos antes de responder, puede ser una muy buena decisión y de este modo evitar que tomes una acción que ponga en riesgo tu información. Aunque el mensaje pueda parecer legítimo, siempre es bueno verificar la fuente; siempre es mejor acceder directamente a una cuenta de comercio, en vez de hacer un clic en un enlace para verificar sus pedidos.
Manténgase alerta, piense antes de actuar y si algo le parece extraño, muchas veces es mejor rechazar un mensaje que caer en una trampa.
¿Listo para llevar su seguridad al siguiente nivel? Explore nuestros servicios de seguridad ofensiva en MonkeysLab para identificar vulnerabilidades antes de que los atacantes hagan y construya una defensa más fuerte y inteligente. No espere un error costoso. empodere su equipo con simulaciones del mundo real y guías de expertos hoy. Su resiliencia depende de ello.