Ingeniería social
Conjunto de técnicas para engañar a personas (no a máquinas) y conseguir que revelen información, hagan clic donde no deben o den acceso a algo. El phishing, las llamadas fraudulentas o el "el sobrino que necesita dinero" son ingeniería social.
Qué es Ingeniería social
La ingeniería social es la manipulación psicológica de las personas para que realicen acciones o divulguen información confidencial. En vez de "hackear" un sistema, se "hackea" al usuario: aprovechando la confianza, el miedo, la urgencia, la curiosidad o el deseo de ayudar. Es, con diferencia, el vector de ataque más usado y más eficaz.
Cómo funciona
El atacante suele investigar primero a su víctima (redes sociales, web de la empresa) para sonar creíble. Luego crea un pretexto: se hace pasar por el banco, por soporte técnico, por un compañero de trabajo, por la dirección de la empresa ("CEO fraud"). Mete prisa ("tu cuenta se bloqueará en 24 h"), apela a la autoridad o a la emoción, y pide la acción concreta: una transferencia, una contraseña, abrir un adjunto, instalar algo.
Cómo protegerte
Desconfía de cualquier mensaje que meta prisa, pida secretismo o solicite dinero, contraseñas o datos sensibles, aunque parezca venir de alguien conocido. Verifica por otro canal (llama tú al número oficial, no al que te dan). Nunca des claves ni códigos de verificación a nadie "que te llama". Forma a tu equipo: la concienciación es la mejor defensa. Y activa el doble factor: aunque te roben la contraseña, no podrán entrar.
Datos curiosos
- La gran mayoría de las brechas de seguridad de las empresas empiezan con un error humano provocado por ingeniería social, no con un fallo técnico.
- Kevin Mitnick, uno de los hackers más famosos, decía que conseguía más información preguntando amablemente por teléfono que rompiendo sistemas.
- El "fraude del CEO" (un correo falso del jefe pidiendo una transferencia urgente) ha costado a empresas de todo el mundo miles de millones.
- Técnicas clásicas de ingeniería social: pretexting (inventar un escenario), baiting (dejar un USB "cebo"), tailgating (colarse físicamente detrás de alguien), quid pro quo (ofrecer algo a cambio).
Preguntas frecuentes
¿Por qué funciona tan bien?
Porque explota emociones humanas básicas (miedo, urgencia, confianza, ganas de ayudar) y porque la "cadena de seguridad" más débil suele ser una persona cansada, despistada o presionada, no un sistema informático.
¿Cómo me protejo si parece un mensaje real?
No actúes desde el propio mensaje. Verifica por un canal independiente: llama al número oficial, escribe directamente a la persona por otro medio, entra a la web tecleando la dirección tú. Si meten prisa, sospecha más, no menos.
¿El 2FA me protege de la ingeniería social?
Mucho, pero no del todo: si te convencen para que les des también el código del 2FA, no sirve de nada. Nunca compartas códigos de verificación con nadie, por mucha prisa o autoridad que aparenten.