La Ingeniera Social tiene un papel fundamental en una gran cantidad de

ciberataques, ms all de lo grande, pequeo o sofisticado que sea el crimen.

De hecho, como ya observ el investigador senior de ESET David Harley en
alguna ocasin anterior, siempre se ha mantenido como una constante a lo
largo de toda la historia de la seguridad de Internet.
Pero, qu es exactamente? En su sentido ms amplio, la Ingeniera Social se
basa en la manipulacin psicolgica, es decir, intenta lograr que las dems
personas hagan las cosas que uno quiere que hagan. Por ejemplo, podras
manipular a un polica de trnsito para evitar pagar la multa de un vehculo mal
estacionado, o adular a tu empleador para obtener un aumento salarial.
En el contexto del crimen ciberntico, es ampliamente descrita como un
mtodo no tcnico utilizado por los cibercriminales para obtener informacin,
realizar fraudes u obtener acceso ilegtimo a los equipos de las vctimas.
La Ingeniera Social se basa en la interaccin humana y est impulsada por
personas que usan el engao con el fin de violar los procedimientos de
seguridad que normalmente deberan haber seguido.
LA INGENIERA SOCIAL SE BASA EN LA
MANIPULACIN PSICOLGICA
Los ataques de Ingeniera Social comunes incluyen correos electrnicos de
phishing, vishing (llamadas telefnicas de personas que se hacen pasar por una
organizacin respetada) y baiting (del ingls carnada, donde el atacante
carga unidades de USB con malware y luego simplemente espera que el usuario
las conecte a su mquina).

La Ingeniera Social tambin se extiende a las bsquedas de empresas y de

amigos en LinkedIn y Facebook respectivamente, donde los criminales utilizan
las redes sociales para generar confianza y obtener datos. Con bastante
frecuencia, el resultado final es la extorsin o el robo.
Esto incluye la prctica de robar algo pequeo para despistar y luego
poder robar algo ms grande, y la prctica de ingresar ilcitamente a zonas
seguras aprovechando la entrada de otra persona con permiso de acceso. Hace
poco, en el Reino Unido, un estafador utiliz Ingeniera Social durante su
condena para escapar de prisin. Us un telfono mvil ilcito para crear una
cuenta de correo electrnico falsa, se hizo pasar por un empleado de la
suprema corte y luego envi sus instrucciones de libertad bajo fianza a los
funcionarios de la prisin. Lo liberaron por error, pero ms tarde se entreg.
Los cibercriminales utilizan estos tipos de ataques por diversos motivos, como
ya explicamos. No cabe duda de que es un arma eficaz, que les permite robar
credenciales privilegiadas, infectar a las personas con malware e incluso
asustarlas con un scareware intil y peligroso para que hagan un pago. La
mayor parte del tiempo, su objetivo final es robar dinero y datos, o asumir la
identidad de la vctima.
Es fcil de hacer y tiene un bajo costo: el reconocido consultor de seguridad
Kevin Mitnick una vez dijo que era ms fcil engaar a alguien para que d su
contrasea de ingreso a un sistema que hacer el esfuerzo para hackearlo.
Con todo esto en mente, a continuacin mencionamos cinco aspectos que
debes conocer sobre la Ingeniera Social.

1. Es fsica y digital

La Ingeniera Social es una antigua estafa que se manifiesta en todos los

mbitos de la vida, por lo que sera un error pensar que se trata de algo nuevo
o que solo se ve en el mundo online.

De hecho, se ha utilizado en el mundo fsico desde hace muchsimo tiempo. Hay

numerosos ejemplos de delincuentes que se hicieron pasar por jefes del cuartel
de bomberos, tcnicos, exterminadores y personal de limpieza, con el nico
propsito de entrar en el edificio de una empresa determinada y robar
secretos corporativos o dinero.
Recin mucho ms tarde, en algn momento de la dcada de 1990,
el vishing se hizo popular, seguido por el correo electrnico de phishing.
2. Su calidad es muy variable

La calidad de las estafas vara ampliamente. Por cada ingeniero social

sofisticado que enva correos electrnicos de phishing iguales a los autnticos o
que hace llamadas de vishing, habr muchos otros que hablan mal el idioma,
que tienen argumentos sin lgica e informacin confusa.
Probablemente ya te hayas cruzado con una serie de estos personajes: en los
correos electrnicos dudosos de un banco nigeriano, o en los que aseguran
que ganaste la lotera en otro pas: hay muchos ejemplos de intentos
lamentables de fraude.

3. Los pases tambin la usan

En un nivel mucho ms elevado, los estados-nacin estn participando

activamente en campaas de Ingeniera Social, o al menos las usan como parte
de ataques mucho ms sofisticados: las amenazas persistentes avanzadas
(APT). Este tipo de espionaje online cumple un rol importante en los esfuerzos
cibernticos de pases como los Estados Unidos y China, como lo revel una
publicacin de Wired.
Mientras que el trmino APT sugiere el uso de tecnologa maliciosa sofisticada,
los ataques APT a menudo se basan en la antigua tctica de Ingeniera Social
con el fin de logar la introduccin inicial en un sistema, coment Harley
recientemente.

Cuando el objetivo del intruso es el fraude o el espionaje, preferentemente

ataca el sistema de personas con un puesto alto dentro la organizacin, de
modo de tener acceso a datos confidenciales.

4. Es probable que no te des cuenta del ataque

Lo ms preocupante acerca de los ataques de este tipo es que no hay una

advertencia inmediata, no hay ninguna seal clara de que te estn atacando o
de que tu equipo fue infectado. No aparece ninguna ventana emergente
pidiendo bitcoins (como con CryptoLocker y otros tipos de ransomware), ni un
anuncio de scareware que intenta convencerte para que descargues una
aplicacin o para que llames a un centro de servicio tcnico.
La mayor parte del tiempo, los delincuentes llevan a cabo su ataque, roban los
datos que buscan y luego desaparecen. Y si se trata de robo de datos,
probablemente nunca te enteres de la infeccin, y mucho menos si tus
datos se estn vendiendo ilegalmente en la Dark Web.
5. Se enfoca principalmente en las empresas
La Ingeniera Social afecta a todos, pero los estafadores la utilizan cada vez ms
para atacar las grandes corporaciones y las PyME: 2014 se describi como el
ao en que los cibercriminales pasaron al sector empresarial.

Un informe de la industria de principios de 2015 revel que se est usando la

Ingeniera Social para atacar especficamente a los mandos medios y altos
ejecutivos. La razn es porque son como una mina de oro, explic en aquel
entonces Richard De Vere, consultor de Ingeniera Social y pentester en The
AntiSocial Engineer Limited.

Si ests preparando un correo electrnico de phishing, LinkedIn es una mina de

oro de donde puedes sacar los datos de los mandos medios y altos ejecutivos,
le dijo a SC Magazine. Las herramientas automatizadas pueden hacer
rpidamente una lista de cientos de direcciones de correo electrnico, con los
datos de los usuarios y sus credenciales de VPN/OWA/Active Directory.