Ingeniería social (social engineering, en inglés) es un término que se utiliza en el mundo de Internet para referirse al acto de manipular a las personas para que tomen acciones que revelen información personal. En cierta forma el nombre es tomado de ciencias políticas, contexto en el que el término se usa para referirse al acto de influenciar la actitud de grupos grandes de personas, dirigiendo el comportamiento social hacia un objetivo bien definido.
En otras palabras, ingeniería social es manipulación psicológica, enfocada a una estafa mucho más elaborada que un ataque directo de un hacker.
A diferencia del malware, los ataques de ingeniería social no se avocan a un sistema (software o hardware) sino a la persona misma, a sus gustos, preferencias, deseos y sesgos cognitivos; de ahí que se consideren a los ataques de ingeniería social más peligrosos que a los de malware (por mucho). El malware pudiera ser, en estos casos, el fin, no el medio.
Ejemplos
Un ejemplo sencillo lo encuentras en phishing. Tenemos el caso de eBay en 2003, que se reportaron gran cantidad de correos electrónicos que indicaban que tu cuenta sería suspendida si no hacías clic en un enlace que se proveía ahí mismo. Y aquí está la manipulación psicológica: sentido de urgencia, evitar una situación indeseable y una solución fácil, un simple “haz clic aquí”.
En el caso de eBay, los atacantes no necesitaban una lista de usuarios reales de la página, sino que apostaron a las probabilidades de que la gente tuviera una cuenta de eBay y el sesgo cognitivo que les obligaría a actuar ante la amenaza de perder su cuenta.
Lo mismo puedes ver en el caso de la llamada falsa de soporte de Microsoft, donde los atacantes apostaron a que tuvieras una computadora con Windows.
Al tratarse de manipulación psicológica, es muy difícil el identificarla. En Facebook puedes encontrar ejemplos todo el tiempo, como el engaño de del vídeo porno, donde claramente están atacando tu curiosidad y otros sesgos cognitivos.
Redes sociales
En redes sociales puedes encontrar todo tipo de trampas diseñadas con ingeniería social. Por ejemplo:
- Gente famosa que por alguna razón está en titulares de noticias. Por ejemplo, “Ve las fotos robadas de Jennifer Lawrence”.
- Desastres naturales. Por ejemplo, a raíz del terremoto en Japón de 2011, muchos usuarios buscando información cayeron en páginas falsas, infectándose con malware.
- Eventos especiales, como San Valentín, Navidad, Mundial de fútbol, etc., son terreno fértil para ofertas falsas. Uno muy común es que te ofrecen ver eventos deportivos en vivo, otro es ofertas vacacionales para ciertas temporadas.
¿Cómo protegerse?
Desgraciadamente, es muy difícil discernir de una forma mecánica y acertada cuándo se trata de una trampa y cuándo se trata de una publicidad bien diseñada. No hay una fórmula para hacer esto, por lo que debemos aplicar sentido común y, sobre todo, evitar actuar impulsivamente.
De entrada, debes apegarte a páginas de confianza o conocidas. Por ejemplo, si ves una oferta de iPads con 50% de descuento en Office Depot, es mejor que visites por fuera la página de Office Depot y ahí busques dicha oferta. Otra regla es “cuídate si suena demasiado bueno para ser verdad”, como en este caso ¿50%? ¿en serio?
Considera que a los comerciantes que les interesa hacerte llegar ofertas reales, les interesa hacerte la compra fácil, por lo que no suena razonable que “la única forma” de acceder a una oferta sea mediante un enlace sospechoso que publican en redes sociales, y menos con el “copia y pega este URL en tu navegador”.
Si no conoces la página de la oferta, porque es una compañía de la que nunca has oído hablar, no es necesariamente un indicador seguro de peligro. Haz tus propias búsquedas para obtener más información e incluso considera instalar herramientas como WOT, que te dan una idea de la confiabilidad de una página.