Saltar al contenido

Ingeniería social: Hackeando el Sistema Operativo Humano

En el campo de la Seguridad, la ingeniería social podría considerarse como la ciencia y arte de hackear la mente humana, ya que se basa en explotar las debilidades humanas para obtener información o convencer a la víctima en realizar alguna acción que comprometa su seguridad.

En los últimos años ha aumentado su popularidad debido al crecimiento de las Redes Sociales y otras formas de comunicación en línea que facilitan a los ciber-delincuentes acceder a los datos con las victimas con mayor facilidad.

Aunque no nos demos cuenta, los idiomas tienen sus puntos débiles ya que están sujetos a una experiencia subjetiva que distorsiona las cosas.

ingenieria social

La mayoría de los ciberdelincuentes saben que es más sencillo utilizar la ingeniería social

La programación neurolingüística o PNL se inventó para fines terapéuticos pero, actualmente, ha evolucionado a una forma de hipnosis que utilizan los ingenieros sociales como herramienta para manipular a sus víctimas, quitándoles su contraseña, información confidencial, etc.

El deseo de toda persona de reciprocidad (si te hago un favor espero que tú me hagas otro), de aprobación social (confiamos en los juicios de la mayoría), de autoridad (por ejemplo, al tener confianza en la policía, un médico, un técnico de soporte…) y otros tantos son formas universales para entendernos con otros  seres humanos. Además, incluso existen páginas web con información valiosa donde aprender técnicas para engañar a las víctimas.

Un ingeniero social sabe qué botones pulsar para conseguir una conducta deseada en un usuario.

Inventa un contexto o una historia 100% creíble para controlar la interacción con la víctima. En una fracción de segundo, son capaces de conseguir lo que buscan este tipo de personas. Si viste la película “Atrápame si puedes”, podrás hacerte una idea de qué son capaces los ingenieros sociales cuando tienen un objetivo en mente.

Por ejemplo, no debes revelar tu contraseña por teléfono o darle a un empleado de soporte técnico tu contraseña para arregle ciertos desperfectos. ¡Presta atención a estas cosas! ¡Se cuidadoso!

SocialEngineer.org, es una plataforma que provee teoría sobre el funcionamiento de cada ataque y ejemplos que aclaran cada uno de los conceptos.

Es necesario conocer los trucos que utilizan los delincuentes, para evitar ser víctimas.

Uno de los métodos más usados para obtener información confidencial es el phishing

Este fraude informático utiliza los principios de la ingeniería social para robar datos a la víctima. A continuación explicare como funciona y que debemos hacer para evitar caer en este truco.

  1. La victima recibe un email, SMS u otro tipo de mensaje, con un argumento crehíble donde convence a esta de que ingrese en una página web del banco u otro sistema que
  2. o realice cierta actividad (entrar en una website falsa, hacer clic en un enlace malicioso… etc.) que permita al atacante seguir con su plan.

En el pasado, el usuario se percataba casi de inmediato si su equipo estaba infectado porque el equipo se comportaba de forma extraña. Hoy en día, el malware accede al sistema y permanezca oculto hasta que tenga que entrar en acción.

La educación es uno de los mecanismos de defensa más importantes para los usuarios. Entre los trucos más populares se encuentran las actualizaciones falsas de Flash Player, los archivos ejecutables dentro de documentos Word y las copias de baja calidad de navegadores legítimos como Internet Explorer. flash-update

Un gran número de ataques está dirigido a Latinoamérica

El motivo se debe, principalmente, a que la mayoría de la población de esta región desconoce estas amenazas tecnológicas y, además, sus sistemas informáticos suelen tener software sin actualizar.

Hasta hace muy poco, las entidades bancarias apenas disponían de medidas de seguridad para las cuentas online y existen, todavía, muchos agujeros por donde se puede colar un ingeniero social.

El “secuestro virtual” usa la ingeniería social para  hacer creer a una familia que uno de sus miembros ha sido secuestrado y, así, reclamar un rescate.

En Latinoamérica, donde este tipo de crímenes son lamentablemente bastante habituales, los delincuentes explotan las debilidades humanas (urgencia y miedo) para conseguir su botín.

Es importante recordar que cualquier información nuestra que publicamos en las redes sociales (Facebook, Twitter, Foursquare, etc.) puede ser una pista significante para los cibercriminales, allanándoles el terreno para desarrollar tranquilamente sus fechorías. Incluso nuestra lista de favoritos de Amazon puede ser la entrada para un ataque de ingeniería social.

Como se ha mencionado anteriormente, es imprescindible instalar un buen producto antivirus si solemos navegar en Internet habitualmente. Aconsejamos estar informados de las últimas amenazas cibernéticas para intentar no caer en la trampa (tanto offline como online). Todos los dispositivos tecnológicos y los mecanismos de defensa son inútiles si no sabemos utilizarlos y no somos conscientes de que los chicos malos siempre están a nuestro acecho.

Estas son las estafas de Ingeniería Social mas conocidas

El crimen está en constante evolución y debemos ser precavidos. En su mayoría las que no aparecen aquí son variantes de alguna de estas:

Estafa Nigeriana

Esta estafa data de 1920 y es conocida por “419”; sin embargo, hasta ahora existen varias denuncias de este caso. La víctima recibe un correo de supuestos funcionarios pertenecientes al gobierno de Nigeria que dicen tener cierta cantidad de dinero en el banco de ese país pero que no pueden cobrarlo. Así que le dicen a la persona que le darán un porcentaje del dinero si es que ella asume las deudas legales en la que ellos están inmersos.

Otra variante de esta modalidad es el caso de una señora cuyo esposo falleció y dejó una fortuna que quiere compartirlo con usuarios de la red. (Ver mas detalles)

Pagos anticipados por préstamos o tarjetas de crédito

Una empresa bancaria informa a la persona que la tarjeta de crédito o el préstamo que ha solicitado ha sido aprobado, pero antes de darles lo prometido, la supuesta empresa solicita al cliente un pago previo.

Creo que en situaciones como estas, las personas debe preguntarse si existe algún banco que cobra por adelantado. Si es que duda, le comentamos que ninguna entidad bancaria puede hacer eso.

Falsas loterías

Llega un correo de una lotería que es de otro país y que la víctima nunca ha jugado. En el mensaje se le informa que su correo ha sido elegido entre otros miles y que tiene que enviar una cierta cantidad dinero para los costos de envío del premio.

En algunas situaciones, los correos vienen respaldados de “ejecutivos” de empresas como Microsoft, mas es una total mentira.

Suplantación de identidad o Phishing

Se considera la modalidad más extendida en la red que consiste en pedir a los usuarios que compartan información personal como nombre, edad, país, correo electrónico o contraseña.

Para ello le pueden decir que su cuenta quiere ser hackeada, necesita ser actualizada, o se encuentra cerrada. Le piden que ingrese a un enlace pero usted no lo haga, pues al ingresar a esa página le pedirán información confidencial. Y con la información podrían realizar actividades ilícitas haciéndose pasar por usted.

Se asegura que en este tipo de casos el 5% de las personas comparten sin previa consulta sus datos personales.

Fraude sobre SMS y llamadas

Las personas engañadas bajo esta modalidad pueden recibir mensajes de texto o llamadas de personas que aparentemente son conocidos. Incluso invitan a sus víctimas a tomar un café o a encontrarse en algún lugar. Si te sucede algo parecido, ten cuidado, ya que puedes resultar lastimada por estas personas.

Robo de datos por medio de páginas web falsas

Este tipo de estafas es más frecuente en el caso de cuentas bancarias. Muchas personas cuando quieren consultar su estado de cuenta, generalmente, no escriben el enlace de la página web de la entidad bancaria en la barra de Internet, sino que hacen uso de un buscador. Esta acción no es recomendable, ya que desde los buscadores probablemente puedes ingresar a una página clonada.

Si ingresas tu usuario y contraseña a estos sitios es casi seguro que tus datos serán robados, el cual les permitirá ingresar a tu cuenta para realizar transacciones sospechas. Para evitar eso, lo más recomendable es que escribas tú mismo en la barra de enlace la dirección del sitio al que quieres ingresar sin ayuda del buscador.

Artículo de venta de sobrepago para estafa

Si realizan en la venta de objetos caros, como los automóviles. Usted puede estar vendiendo un auto en Internet y de pronto encuentra a alguien que quiere comprarlo a un precio más alto de lo que usted pide.

El estafador le enviará la orden de pago, supuestamente autorizado por un banco, el cual resulta falso pues la entidad no autorizó nada. La persona pierde el auto y ganará una deuda enorme con el banco.

Búsqueda de empleo sobrepago estafa

Se recibe una oferta de trabajo de una empresa extranjera que asegura tener problemas para el pago de clientes en el país del usuario. Supuestamente contratan a la persona para que dé solución a los altercados financieros. Los estafadores le pedirán a usted su número de cuenta e incluso le darán un número de cuenta en donde tiene que hacer el giro del depósito.

El problema viene empieza al brindar tus datos personales o el número de tu cuenta pues le llegarán cheques sin fondo y ello te ocasionará problemas con el banco. Otra situación es que se pide dinero por adelantado para cerrar contrataciones laborales o garantizar el envío de temas para desempeñar el puesto de empleo. También en ocasiones se le pedirá que llamen a un teléfono, cuya tarifa es bastante alta.

Donaciones o ayuda para desastres naturales falsos

Luego de un desastre como un tsunami o un terremoto, las personas se interesan por ayudar a los sobrevivientes mediante algún tipo de ayuda.

Si hablamos de donaciones, las personas fraudulentas crean página de instituciones inexistentes o incluso reconocida para recibir las donaciones. Pero la ayuda no llegará nunca a los damnificados.

Por ello, lo más recomendable es que averigües las actividades anteriores de esa institución y en caso se reconocida entonces lo preferible es que te cerciores si verdaderamente están llevando una colecta en pro de los afectados.

Estafas de viajes

Si te llega un correo ofreciendo la venta o el alquiler de un inmueble cómodo a un buen precio para disfrutar de sus vacaciones en el extranjero, no hagas caso de ello. Ya que lo característico de este fraude es que la promoción está vigente hasta ese día.

Otra modalidad son las llamadas persistentes para ofrecerles ofertas de viajes, pero lo que no le dicen es que la residencia es cara y además los servicios que le prometían no serán realmente lo que le dijeron. En caso pida reembolso o cancelar el viaje será una pesadilla total, ya que perderá su tiempo.

Lo más recomendable es asegurar que el beneficio que te ofrecen exista y provenga de una empresa confiable.

Los email cadena “Gana dinero”

Consiste en recibir un mensaje electrónico, en donde le pedirán que envíe dinero a la primera persona que aparece en la lista de correos prometiéndole que cuando su nombre esté primero recibirá mucho dinero.

Más lo que no sabe usted es que la lista es manipulada para que el nombre del estafador o de sus amigos aparezcan siempre en los primeros lugares. Si llega a participar tenga en cuenta que le puede traer acusaciones de fraude.

Convierte tu ordenador en una máquina de dinero de decisiones

Se busca que las personas envíen dinero si es que quiere descargar un programa para obtener ganancias con su máquina. Una vez hecho eso obtendrá un único ID y el estafador le pedirá información de su cuenta para que le hagan el depósito del dinero que “ganará”.

El programa hará que se abran varias ventanas publicitarias, a las cuales tendrá que hacer click, su computador se dañará y el dinero prometido no llegará.

Inversión de dinero en un negocio falso

Esta estafa es conocida como Ponzi y es un fraude para invertir. Se le da a la persona la “oportunidad” de invertir en un programa o negocio. Pero lo que sucede es que el dinero se usa para pagar las inversiones mayores. Es decir, el dinero que usted aporta sirve para pagar a otras personas y no verá los frutos de su inversión.

Hazte millonario rápido

Estos fraudes ofrecen la oportunidad de ganar mucho dinero a la semana sin hacer ningún tipo de trabajo. En las ofertas le darán a conocer todos los beneficios del trabajo, mas no explicarán en qué consiste.

Compras en línea

Se encuentra muchas ofertas de artículos en Internet y esto es aprovechado por los delincuentes. En esta forma de estafa se venden gadgets tecnológicos, smartphone o autos. Se suele pedir dinero por adelantado pero el anuncio es falso, y es casi seguro que la página de tienda online haya sido clonada. La persona realizará la compra del objeto pero no recibirá la mercancía. En caso realice la compra con su tarjeta de crédito es probable que le roben los datos de su cuenta.

Estafas de software de seguridad no autorizado

Este software es más conocido como “scareware”, pude ofrecer una seguridad limitada o en todo caso ninguna. Esta estafa pueden aparecer en redes sociales, buscadores o ventanas emergentes de su equipo a manera de mensajes de un falso virus. El programa ocasiona alertas engañosas, intenta que participe en transacciones fraudulentas y daña su equipo.

Oportunidades de Negocio y Timos del tipo “Trabaje desde su propia casa”

Se ofrece a las personas la posibilidad de trabajar desde casa. Para lo cual tendrán que realizar la compra de una máquina. Las personas realizan la compra porque piensan que el accesorio es necesario para el trabajo, pero la verdad es que su compra era innecesaria.

Fraudes telefónicos

En este caso le piden a los clientes que bajen un programa para poder acceder totalmente gratis a la red. Sin embargo, las personas no saben que el software marca un número internacional que incrementa el costo de la factura de la telefonía de su hogar.

Fraudes en recomendaciones sanitarias

Existen miles de recetas que juran curar cualquier tipo de enfermedad y pueden engañar a personas desesperadas que tienen un pariente enfermo. Muchas de las prescripciones no tienen un respaldo médico y hacerles caso podría ocasionar resultados trágicos.

Consejos para no ser víctimas de la Ingeniería Social

  • Ten precaución al momento de brindar tus datos a terceros.
  • No des siempre por sentado que la persona que se encuentra al otro lado de la red es la persona que dice ser, pues muchas cuentas son robadas diariamente.
  • Duda de las ofertas, promociones o concursos realizados por entidades o personas desconocidas.
  • Si te piden que llenes una encuesta o realices una llamada costosa no lo hagas.
  • Si piensas realizar alguna compra exige que te envíen un documento que asegure el envío y declare el valor real del paquete.
  • No realices compras si no tienes estas garantías así diga ser una empresa conocida.
  • Si te llega un mensaje pidiendo que rellenes un formulario, no respondas ni rellenes tus datos personales, pues esta es la forma más frecuente para robar claves bancarias. En caso tengas dudas, comunícate directamente con el banco.
  • Revisa constantemente tu cuenta y busca ayuda de la entidad bancaria para ver qué medidas de seguridad te pueden brindar.
  • Con las ofertas de empleo, haz caso omiso a ofertas que te piden dinero por adelantado y siempre verifica que el nombre de la empresa, que te envía el mensaje o correo, aparezca en el enlace de la página.
  • Cuando usted sospeche que alguien ha robado su identidad en Internet cambie las contraseñas de las cuentas que considera han sido suplantadas.
  • Ten el antivirus actualizado y actualizar el sistema operativo.

Recuerda que hay muchas formas de utilizar Internet y las redes sociales, y muchas personas maliciosas los utilizan con fines delictivas.  Así que te recomendamos estar más informado respecto a este tema y hacer caso de los consejos que te brindamos para evitar ser victima de los ciberdelincuentes.

El día que Alicia compró un jarrón chino que nunca llegó

Según decía en el anuncio, el vendedor se cambiaba de casa y estaba aprovechando para vender algunos objetos, lo que explicaba el bajo precio del jarrón y la prisa por venderlo. Así que, sin pensarlo más, Alicia envió el dinero a la cuenta bancaria que le facilitó el vendedor. Seis meses después, todavía está esperando a que llegue…

La mejor forma para no caer en estos engaños es conocer las técnicas más usadas por los estafadores y ver cuáles son las señales que deben ponernos alerta.

Participa con Facebook
No ratings yet.