EDUCALIKE
INGENIERÍA SOCIAL
Conocer los sistemas que se utilizan para engañar a los usuarios, y conseguir que hagan lo que no querían hacer, puede ahorrar a los adolescentes encontrarse con problemas de difícil solución.
Ataques inteligentes
De todas las técnicas y sistemas empleados por los ciberdelincuentes, tal vez los más novedosos son los relativos a la ingeniería social en los entornos digitales. La ingeniería social consiste básicamente en la obtención de información sobre personas o entidades concretas, a partir del desarrollando de trampas y engaños personalizados. Normalmente se trata de obtener información confidencial, accediendo al contenido del smartphone, tableta u ordenador de la persona. Y esto puede conseguirse de diferentes maneras, pero para conseguirlo necesita que nos descarguemos un archivo malicioso, o pinchemos en un enlace que nos llevará a un sitio en el que se descargará ese archivo.
Si no somos fáciles de engañar, el ciberdelincuente necesita entonces investigar algo sobre nosotros, saber cuantas más cosas mejor, para conseguir que cojamos su caramelo y caigamos en su engaño.
Somos el acceso a nuestros conocidos
Desde En ocasiones la persona cuyo aparato interesa infectar no somos nosotros mismos, sino personas muy próximas. Y sobre todo familiares. Veamos un ejemplo para entenderlo mejor:
Luis es un trabajador de una pequeña empresa de transporte. Se encarga de temas administrativos, pagos de facturas, etc. Sabe muy bien que debe borrar directamente correos electrónicos de remitentes extraños, y nunca abre archivos adjuntos sin saber qué contienen. Sabe lo que es el spam y lo que es el phishing, y nunca ha caído en uno de esos mensajes en los que te piden que entres en una web de tu banco para confirmar tus datos. Es decir, tiene algo de formación en ciberseguridad y es cuidadoso. Sin embargo, esta mañana ha pinchado en un enlace que le ha llegado en un correo y se ha descargado un virus sin saberlo. El virus se ha extendido rápidamente y ha encriptado el contenido de los ordenadores de su empresa. Alguien les pide ahora un rescate en bitcoins para poder recuperar todos los archivos de los ordenadores. Mientras tanto la empresa está paralizada ¿Cómo ha caído Luis en la trampa?
Resulta que un ciberdelincuente se ha tomado la molestia de buscar a familiares de Luis en la red social de moda, y ha dado con su hija. Revisando las publicaciones de la adolescente, ha encontrado una en la que aparece una foto obtenida en una población muy concreta, junto a una frase que dice: “Deseando veros en Villabotijo”. Resulta que es el lugar al que acude su familia cada año para celebrar las navidades. Una vez que el ciberdelincuente obtiene un dato interesante lo utilizará, y saber dónde pasa las vacaciones la familia es muy interesante. Sabe que si envía a Luis un correo electrónico sospechoso no tendrá éxito, pero puede aprovechar la información que acaba de conseguir. En este caso redacta y envía un correo electrónico que lleva por título: “Ubicación de los nuevos radares que el ayuntamiento ha puesto en Villabotijo”. Y en la redacción del correo dice cosas como:
“El ayuntamiento de Villabotijo, en su afán recaudatorio, va a colocar tres radares en la población para pillar a los cientos de visitantes que recibimos y que vienen a pasar las vacaciones con sus familiares… es una vergüenza… etc, etc… no dejéis que recauden a vuestra costa…”
El correo incluye un enlace al mapa en el que se especifica dónde están situados los radares. Cuando Luis ha recibido este correo, lo ha abierto alarmado y ha pinchado en el enlace. Ha terminado en una página con la falsa noticia acompañada de fotos de la localidad, y ha pinchado sobre un botón que decía: “descarga plano ubicación radares”. En cuestión de segundos ha caído en la trampa.
Esto es ingeniería social. Saber cosas sobre alguien para conseguir que haga algo, que haga clic sobre un botoncito o que pinche en un enlace. Si lo hace habrá cogido el caramelo envenenado. Y cuanta más información exista en la red, publicada por alguien o por sus hijos o familiares, más vulnerable será. Esto afectará a otras personas o entidades con las que esa persona se relacione a través del terminal que ha sido infectado.
Luis podría ser también un abogado en una asesoría o en su despacho, un médico en su consulta privada, un cargo intermedio de una sucursal bancaria, o cualquier otro profesional.
Más información en la Guía para Familias en la Guía sobre CIBERSEGURIDAD FAMILIAR.