En un sentido más amplio, cualquier tipo de manipulación vinculada a la psicología del comportamiento puede considerarse ingeniería social. Sin embargo, el concepto no siempre está relacionado con actividades delictivas o fraudulentas. De hecho, la ingeniería social se utiliza y estudia ampliamente en una variedad de contextos, en campos como las ciencias sociales, la psicología y el marketing.

Cuando se trata de ciberseguridad, la ingeniería social se realiza con motivos ocultos y se refiere a un conjunto de actividades maliciosas que intentan manipular a las personas para que realicen malas acciones, como revelar información personal o confidencial que luego puede usarse contra ellos o su empresa. El fraude de identidad es una consecuencia común de este tipo de ataques y en muchos casos provoca importantes pérdidas económicas.

La ingeniería social a menudo se presenta como una amenaza cibernética, pero el concepto existe desde hace mucho tiempo y el término también puede usarse en relación con esquemas fraudulentos del mundo real, que generalmente implican la suplantación de autoridades o especialistas en TI. Sin embargo, la aparición de Internet hizo que a los piratas informáticos les resultara mucho más fácil realizar ataques de manipulación a mayor escala y, lamentablemente, estas actividades maliciosas también se están produciendo en el contexto de las criptomonedas.


¿Como funciona?

Todos los tipos de técnicas de ingeniería social se basan en las debilidades de la psicología humana. Los estafadores se aprovechan de las emociones para manipular y engañar a sus víctimas. El miedo, la codicia, la curiosidad e incluso su voluntad de ayudar a los demás se vuelven contra ellos a través de diversos métodos. Entre los múltiples tipos de ingeniería social maliciosa, el phishing es sin duda uno de los ejemplos más comunes y conocidos.

Suplantación de identidad

Los correos electrónicos de phishing a menudo imitan la correspondencia de una empresa legítima, como una cadena bancaria nacional, una tienda en línea acreditada o un proveedor de correo electrónico. En algunos casos, estos correos electrónicos clonados advertirán a los usuarios que su cuenta necesita ser actualizada o ha mostrado actividad inusual, exigiéndoles que proporcionen información personal como una forma de confirmar su identidad y regularizar sus cuentas. Por miedo, algunas personas hacen clic rápidamente en los enlaces y navegan a un sitio web falso para proporcionar los datos requeridos. En este punto, la información estará en manos de los piratas informáticos.

Scareware

También se aplican técnicas de ingeniería social para difundir el llamado Scareware. Como sugiere el nombre, el scareware es un tipo de malware diseñado para asustar y sorprender a los usuarios. Por lo general, implican la creación de falsas alarmas que intentan engañar a las víctimas para que instalen un software fraudulento que parezca legítimo o accedan a un sitio web que infecta su sistema. Esta técnica a menudo se basa en el miedo de los usuarios a que su sistema se vea comprometido, convenciéndolos de hacer clic en un banner web o una ventana emergente. Los mensajes suelen decir algo como: "Su sistema está infectado, haga clic aquí para limpiarlo".

cebo

El cebo es otro método de ingeniería social que causa problemas a muchos usuarios distraídos. Implica el uso de cebos para atraer a las víctimas en función de su codicia o curiosidad. Por ejemplo, los estafadores pueden crear un sitio web que ofrezca algo gratis, como archivos de música, vídeos o libros. Pero para poder acceder a estos archivos, los usuarios deben crear una cuenta y proporcionar su información personal. En algunos casos, no es necesaria una cuenta porque los archivos están directamente infectados con malware que penetrará en el sistema informático de la víctima y recopilará sus datos confidenciales.

Los esquemas de cebo también pueden ocurrir en el mundo real mediante el uso de memorias USB y discos duros externos. Los estafadores pueden dejar intencionadamente dispositivos infectados en un lugar público, por lo que cualquier persona curiosa que los agarre para comprobar el contenido acaba infectando su ordenador personal.


Ingeniería social y criptomonedas

Una mentalidad codiciosa puede ser bastante peligrosa cuando se trata de mercados financieros, lo que hace que los comerciantes e inversores sean particularmente vulnerables a ataques de phishing, esquemas Ponzi o piramidales y otros tipos de estafas. Dentro de la industria blockchain, el entusiasmo que generan las criptomonedas atrae a muchos recién llegados al espacio en un período de tiempo relativamente corto (especialmente durante los mercados alcistas).

Aunque muchas personas no comprenden completamente cómo funcionan las criptomonedas, a menudo escuchan sobre el potencial de estos mercados para generar ganancias y terminan invirtiendo sin realizar la investigación adecuada. La ingeniería social es particularmente preocupante para los novatos, ya que con frecuencia quedan atrapados por su propia codicia o miedo.

Por un lado, el afán de obtener ganancias rápidas y ganar dinero fácil eventualmente lleva a los recién llegados a perseguir falsas promesas de obsequios y lanzamientos aéreos. Por otro lado, el miedo a que sus archivos privados se vean comprometidos puede llevar a los usuarios a pagar un rescate. En algunos casos, no existe una infección de ransomware real y los usuarios son engañados por una falsa alarma o un mensaje creado por los piratas informáticos.


Cómo prevenir ataques de ingeniería social

Como se mencionó, las estafas de ingeniería social funcionan porque apelan a la naturaleza humana. Por lo general, utilizan el miedo como motivador, instando a las personas a actuar de inmediato para protegerse a sí mismos (o a su sistema) de una amenaza irreal. Los ataques también se basan en la codicia humana, lo que atrae a las víctimas a diversos tipos de estafas de inversión. Por eso es importante tener en cuenta que si una oferta parece demasiado buena para ser verdad, probablemente lo sea.

Aunque algunos estafadores son sofisticados, otros atacantes cometen errores notables. Algunos correos electrónicos de phishing, e incluso pancartas de scareware, a menudo contienen errores de sintaxis o palabras mal escritas y sólo son efectivos contra aquellos que no prestan suficiente atención a la gramática y la ortografía, así que mantén los ojos abiertos.

Para evitar ser víctima de ataques de ingeniería social, debes considerar las siguientes medidas de seguridad:

  • Edúcate a ti mismo, a tu familia y a tus amigos. Enséñeles sobre los casos comunes de ingeniería social maliciosa e infórmeles sobre los principales principios generales de seguridad.

  • Tenga cuidado con los archivos adjuntos y enlaces de correo electrónico. Evite hacer clic en anuncios y sitios web de fuente desconocida;

  • Instale un antivirus confiable y mantenga actualizados sus aplicaciones de software y su sistema operativo;

  • Utilice soluciones de autenticación multifactor siempre que pueda para proteger sus credenciales de correo electrónico y otros datos personales. Configure la autenticación de dos factores (2FA) en su cuenta de Binance.

  • Para empresas: considere preparar a sus empleados para identificar y prevenir ataques de phishing y esquemas de ingeniería social.


Pensamientos finales

Los ciberdelincuentes buscan constantemente nuevos métodos para engañar a los usuarios, con el objetivo de robar sus fondos e información confidencial, por lo que es muy importante que se informe a sí mismo y a quienes lo rodean. Internet proporciona un refugio para este tipo de estafas, y son particularmente frecuentes en el espacio de las criptomonedas. Sea cauteloso y esté alerta para evitar caer en trampas de ingeniería social.

Además, cualquiera que decida comerciar o invertir en criptomonedas debe realizar una investigación previa y asegurarse de tener un buen conocimiento tanto de los mercados como de los mecanismos de funcionamiento de la tecnología blockchain.