Ciberseguridad

Ingeniería Social y el factor humano de la empresa. ¿Víctimas o victimarios?

18
Jul

La ingeniería social es un conjunto de técnicas usadas por parte de los ciberdelincuentes, con el objeto de engañar a los usuarios que no están debidamente preparados, para obtener sus datos o información confidencial, infectar sus dispositivos electrónicos o para incitarlos a abrir sus enlaces a páginas web que tienen alguna clase de virus.

Generalmente, por un sesgo cognitivo, los usuarios en internet tienden a pensar que un ciberataque es un acto sofisticado y que nunca les ocurrirá; a otros sí, pero no a ellos. Desde el punto de vista de la psicología, aquello se denomina “la teoría del mundo perfecto”, aquello que le pasa a otro, jamás me pasará a mí. Agrava lo anterior, nuestra idiosincrasia, que siempre actuamos en estos temas cuando ya hemos sido atacado o vulnerado y muy pocas veces de forma preventiva.

Precisamente lo que utiliza la Ingeniería Social, según veremos, es un conjunto de técnicas, a través de las cuales manipulan psicológicamente a los usuarios, para obtener información relevante, como sus datos personales, claves de banco o simplemente que accedan a un enlace que se les comparte vía mensaje de texto, el cual los llevará a un sitio que robará toda su información o bien infectará su dispositivo.

La poca y casi nula concientización digital de la ciudadanía ha ayudado a la proliferación de la Ingeniería Social y del como ésta ha ideado diversos métodos para poder engañar a incautos ciudadanos, presos de la brecha digital en la cual habitan y que los hace caer en las redes de los ciberdelincuentes.

Muchas personas incluso no entienden la diferencia entre hacker y ciberdelincuente y los creen sinónimos. Más allá de la distinción técnica que se realiza en relación con los diversos sombreros que utilizan los hackers y que la diferencia respecto de los fines que persiguen, aquel que comete un ciberdelito es derechamente un ciberdelincuente.

Hacker es aquel que “quiebra un sistema” o bien realiza actos de innovación tecnológica que ayuda a miles de personas, abaratando costos y tiempo y por lo cual es reconocido. Bill Gates y Steve Jobs son hackers bajo esas premisas.

Por otro lado, aquel que utiliza los sistemas informáticos para la comisión de un ciberdelito, de manera directa o indirecta, pasa a tener la calidad de Ciberdelincuente, que puede ser un hacker o no. Pues bien, todo hacker puede ser un Ciberdelincuente, pero no todo Ciberdelincuente necesariamente será un hacker.

Hoy en día si bien puede pensarse o tener la creencia que los ciberdelitos se cometen a través de sofisticados medios tecnológicos, con grandes computadoras o programas de alto costo, no es tan así. La gran mayoría de los ciberataques que sufre el ciudadano común -La señora Juanita de la era 4.0- precisamente se comete a través de la Ingeniería Social, método barato, certero y directo para la comisión de un ciberdelito.

Pero ¿por qué ocurre esto?: como ya lo adelanté, la brecha digital que no sólo afecta a la población de mayor rango etario, sino que, al ciudadano medio que, si bien pasa muchas horas en redes sociales o hiperconectado, dicha permanencia, no guarda relación con su capacidad para usar correctamente las herramientas digitales.

Los ciberdelincuentes, usando la ingeniería social, se aprovechan no sólo de la falta de conciencia digital de los usuarios, sino que, a través de la manipulación psicológica de sus víctimas, atacan sus más íntimos deseos, miedos, sueños y fantasías. Veamos algunos métodos, que, si bien son diversos, aquellos utilizan principios básicos.

Respecto a la autoridad

En general, tanto familiar como profesionalmente, la gente tiende a respetar a quienes considera autoridad, un padre, un abuelo, un jefe, gerente, etc. Por lo anterior, los ciberdelincuentes tienden a hacerse pasar por dichas personas, engañando a sus victimas a través de tales técnicas y obteniendo lo que desean, generalmente claves, datos relevantes o dinero.

Voluntad de ayudar.

El ambiente laboral puede pasar a ser, en muchos casos, la segunda familia, por lo que, aprovechándose de aquello, los ciberdelincuentes suplantan la identidad de uno de sus compañeros de trabajo, para obtener dinero o ayuda.

Respeto Social

Generalmente se utiliza está técnica a través de phishing, dando cuenta en un email que la victima está expuesta a la cancelación de un servicio como el tv cable o bien Netflix y se adjunta un enlace que se debe seguir para que no ocurra, el cual lleva a sitios fraudulentos o simplemente descarga un virus que espía a la victima para obtener su información sensible sin que lo sepa.

Temor a perder un servicio.

Correos electrónico en donde se realizan actos de sextorsión, a través del cual se amenaza con difundir un supuesto video privado que en realidad no existe. Dicho temor muchas veces lleva a las victimas a entregar dinero, sin saber que se trata de un correo masivo enviado a cientos de emails recogidos de bases de datos, pero tal temor es el no verse expuesto él o su familia a la vergüenza y escarnio público.

Temor a perder un servicio.

En la era digital se señala que, cuando el servicio es gratis, el producto eres tú. Por lo general estamos acostumbrados a que en internet se nos regalen servicios o productos, por lo que este tipo de engaño se basa en dicha oferta a cambio de información privada. Se usa en mensajes de texto o de aplicaciones móviles, correos electrónicos y redes sociales y por lo general, el enlace que se adjunta nos lleva a sitios malignos, a través de los cuales los ciberdelincuentes obtienen toda nuestra información personal.

A MODO DE CONCLUSIÓN Y RECOMENDACIÓN

No existen fórmulas mágicas ni recomendaciones infalibles en materia de ciberseguridad, pero si hay algo que si es efectivo es formar y concientizar a la ciudadanía en general y al factor humano de la empresa en particular.

Implementar protocolos con medidas de ciberseguridad y seguridad de la información es efectivo, pero sin realizar las inducciones, capacitaciones y charlas de rigor, esa inversión irá directo al bolsillo de los ciberdelincuentes.

Existen empresas en donde los empleados piensan que los correos del banco caen en el spam y hay que ir a rescatarlos, cuando en realidad son precisamente eso, spam. Campañas de Phishing que buscan engañara a ingenuos usuarios.

De acuerdo con estudios y encuestas realizados por el INCIBE 1 de España, la ingeniería social es una de las técnicas más utilizadas por los ciberdelincuentes para conseguir sus objetivos delictivos.

Prevenir en materia de Ciberseguridad, siempre es mejor que lamentar. Un solo ciberataque, dirigido o no, puede tener como consecuencia la quiebra de una empresa, bien sea por el robo de dinero, de datos personales o de la perdida de prestigio reputacional en el mercado.

1 Instituto Nacional de Ciberseguridad de España. www.incibe.es

Para minimizar los riesgos de este tipo de fraude, la mejor vía es formar y concienciar a la ciudadanía y al factor humano de la empresa.

En Estados Unidos tienen un dicho: “lo que no sé, simplemente no lo sé”. Por lo que, si no me han informado, capacitado y concientizado en Ciberseguridad, seré una víctima de los ciberdelincuentes, pero desde el momento de que tengo conciencia de los peligros de navegar en la red y usar un dispositivo electrónico y debido segur sin capacitarme ni prepararme para evitarlo, puedo pasar de ser víctima a un cómplice pasivo del ciberdelito, puesto que tengo conciencia que no tengo herramientas ni barreras para protegerme.

El no capacitarse y ser victima de un ciberdelito podría, bajo ciertos aspectos, ser constitutivo también de ciberdelito, debemos generar ciertas barreras y los debidos cuidados para, en definitiva, no facilitar al ciberdelincuente su tarea. Caso típico es el almacenamiento de pornografía infantil dentro de una empresa, por parte de uno de sus empleados, no contando dicha empresa con los protocolos y cláusulas laborales que prohíban dicha conducta, todo lo cual la puede llevar a ser parte de la investigación y a la Fiscalía el solicitar al Juzgado de Garantía, el cierre temporal de la misma, mientras dure la investigación.

La Tecnología y junto a ella, los ciberdelitos, cambian diariamente, debido a ello, es clave capacitarse y adquirir las nociones de seguridad informática necesarias, para la era de digital en la cual habitamos.