Segn su definicin de referencia, la Ingeniera Social consiste en persuadir a una persona

para influenciarla en sus acciones. En otras palabras, es la manipulacin de personas

influencindolas a ejecutar determinada accin, que las lleva a ser vctimas de un delito
informtico.
Se busca generar una situacin creble, de confianza, sin dejar nada libre al azar. Un
ejemplo puede ser un scam, o sitio web modificado con fines maliciosos, como el que hace
poco les mostramos cuando se utiliz la esttica de la gira de los Rolling Stones para crear un
sitio que prometa entradas gratis a cambio de clics en Facebook.
Cuando un atacante lleva a cabo una tcnica de Ingeniera Social, su efectividad depende
del comportamiento del usuario, que es quien en algunas ocasiones, de forma involuntaria,
contribuye a que un ciberdelincuente se salga con la suya y logre realizar el engao. Por lo
tanto,la clave es la precaucin del usuario final, que tiene el poder de frenar la
propagacim de una campaa.

Cmo puede esto afectar a la seguridad informtica?

La respuesta es simple: con todas las herramientas informticas disponibles y al alcance de
cualquier persona, la posibilidad de realizar ataques se facilita. Qu sucede, por ejemplo,
cuando combinamos la curiosidad humana con la explotacin de una vulnerabilidad en un
sistema informtico? Un atacante puede obtener el control de un equipo, o podra robar
informacin sensible como datos bancarios o informacin personal.
Una de las personas ms reconocidas en el mundo informtico es Kevin Mitnick, quien se
caracteriz por ser uno de los pioneros en tcnicas de Ingeniera Social. Mitnick considera
que el factor que determina la seguridad del hardware y el software es el factor humano,
es decir, elusuario. Este es quien se encargar de interpretar las polticas de seguridad
correctamente y buscar que se respeten.
Considerando que es posible fallar en este aspecto y que un ataque de Ingeniera
Social puede tomar desprevenido a cualquier usuario, y teniendo en cuenta tambin que
incluso es posible que sea llevado a cabo solamente con ayuda de un telfono, Mitnick
establece 4 principios comunes que aplican a todas las personas:

Todos queremos ayudar

Siempre, el primer movimiento hacia el otro, es de confianza

Evitamos decir NO

A todos nos gusta que nos alaben

Estos mtodos de manipulacin, basndose en la confianza del usuario, son los que
conducen a engaos como phishing, pginas con cdigos maliciosos alojados esperando
infectar a sus vctimas, o robo de informacin, entre otras cosas. Como les contbamos hace
algunas semanas,37.3 millones de usuarios reportaron ataques de phishing el ao
pasado.

La evolucin de las tcnicas de Ingeniera Social

Es increble ver cmo han evolucionado hasta la fecha los ataques de este tipo. Algo que en
sus inicios comenz siendo una impersonalizacin va telefnica, hoy busca hacer una
experienciaimperceptible al usuario.
Los comienzos de esta tcnica se basaban en llamadas telefnicas, hacindose pasar por
entidades que brindan un determinado servicio. La finalidad de este llamado era recabar
informacin sobre la vctima. Con la llegada de Internet a cada hogar, comenzaron a
aparecer tcnicas de Ingeniera Social va clientes de mensajera instantnea. Comenz
a ser muy comn el famoso mensaje mediante
Messenger Fotos_para_adultos_de_alguien.rar. Enviandocdigo malicioso a los
contactos de la cuenta, hubo muchos casos de infeccin mediante esta tcnica.
Hoy en da, los ciberdelincuentes buscan engaar a sus vctimas para que entreguen
voluntariamente su informacin personal. La mutacin se dio no slo hacia sitios web, sino
tambin se ha transformado en mensajes de texto, y cualquier tipo de mensajera mvil. La
importancia de este vector de ataque radica en que estos dispositivos mviles almacenan
gran cantidad de informacin personal, como contactos, fotos, conversaciones, usuarios y
contraseas de redes sociales, de correos electrnicos, inclusive geo localizacin.
Tambin han aparecido tcnicas como pharming, muy similar al phishing, pero que en vez de
engaar al usuario mediante un enlace enviado por correo electrnico, busca el robo de
informacin mediante la modificacin en tiempo real de las consultas realizadas a los
servidores DNS o mediante la toma de control del equipo vctima; as, modifica el
archivolmhost, que se encarga de resolver las consultas web, asociando la direccin IP al
dominio.

Distinguiendo una noticia real de una falsa

Ahora bien, pensemos cmo un ciberdelincuente logra (o intenta lograr) que su campaa de
propagacin de amenazas tenga xito.
Uno de los factores ms aprovechados son las temticas populares de actualidad. En el
Laboratorio de Investigacin de ESET Latinoamrica, hemos podido detectar e investigar
campaas que utilizaron noticias, personas y sucesos de relevancia como gancho para captar
vctimas. A continuacin recordaremos 6 campaas destinadas a usuarios de
Latinoamrica:

Mundial de ftbol Brasil 2014: una campaa buscaba robar informacin bancaria

prometiendo entradas para asistir a los partidos de la Copa.

Supuesto video ntimo de la hija de Sebastin Piera: un correo electrnico

promocionaba un video de Magdalena, la hija del expresidente chileno, que slo

descargaba un troyano.
Alerta de terremoto en Ecuador: un email prometa imgenes satelitales que slo

descargaban malware.
Michael Jackson est vivo!: el falso archivo slo descargaba un troyano diseado
para convertir la computadora en un zombi que formar parte de una botnet.

Romance entre Shakira y Alexis Snchez: el falso video descargaba un troyano que

modificaba los archivos hosts de la computadora afectada para hacer redirecciones.

Ricardo Martinelli acusado de abuso: nuevamente un email prometa un falso video

del presidente de Panam que descargaba un troyano.

Por eso es importante que ests atento ante sucesos de esta masividad, y que tengas en
cuenta que es muy probable que los cibercriminales los utilicen para tratar de engaar a los
usuarios.

Slo es cuestin de estar alertas

Lo ms importante de todo esto, es que no debemos ser paranoicos a la hora de usar un
equipo informtico. Existen peligros reales y por eso los compartimos con ustedes, para que
tomen los recaudos necesarios y as puedan navegar tranquilos, haciendo un uso consciente
y responsable de la tecnologa.
Recuerden las premisas de seguridad que aplican en la vida cotidiana, como por ejemplo: si
no hablas con desconocidos en la calle, por qu lo haras en Internet? Tengamos en cuenta
que a pesar de los peligros que existen en las calles, seguimos saliendo, porque
confiamos en que estamos tomando los recaudos necesarios para que no nos pase
nada. Bien, en Internet sucede lo mismo: no todo el mundo es quien dice ser, y nunca
sabemos cules son sus intenciones reales, pero es posible tener una experiencia segura, si
se siguen buenas prcticas como las siguientes:

En primer lugar, usar soluciones de seguridad como antivirus, que prevendrn

infecciones mediantes exploits o cdigos maliciosos, entre otros.

No aceptar en redes sociales a gente desconocida. La variedad que ofrece la

tecnologa permite, por ejemplo, preguntarle a un contacto mediante Whatsapp si nos

agreg realmente para saber si es quien dice ser.
Ser cuidadosos con los correos electrnicos recibidos de remitentes

desconocidos: pueden robar informacin y estar infectado con archivos maliciosos

adjuntos.
Descargar aplicaciones de su fuente original. Esto evitar las infecciones en el

equipo.
En conexiones libres como en bares, cafs y lugares pblicos, es bueno tener en

cuenta no usar servicios que requieran informacin sensible como usuario y

contrasea. Algo que podra ayudarte si necesitaras estos servicios, es el uso de VPN,
que enviar todas las comunicaciones cifradas.
La siempre mencionada poltica de crear contraseas robustas y fuertes, va a

prevenir ataques. Puede resultar un poco tedioso tener diferentes contraseas para los
servicios utilizados, pero se pueden usar aplicaciones gestoras de usuarios y
contraseas; informacin que es almacenada en un archivo cifrado.
En sitios web que requieran informacin de usuario y contrasea, chequear que
utilizan httpsen lugar de http.