Ingeniería social, el cibercrimen perfecto
Ingeniería social, el cibercrimen perfecto
Los ciberdelincuentes juegan con las emociones de sus víctimas.
Por:
Ana Laura Vásquez
Manipular a las personas antes que a cualquier sistema informático es el crimen cibernético más efectivo. Se llama ingeniería social.
En el contexto de la seguridad informática, es la técnica para generar el entorno psicológico para engañar a la víctima y que, al maniobrar con sus emociones, una vez que se tiene contacto con ella a través de Internet, haga lo que el ciberdelincuente quiere que haga; por ejemplo, que deposite dinero, que envíe sus datos y documentos personales, que mande fotografías íntimas o videos con contenido sexual.
La ingeniería social funciona con la premisa de que es más fácil engañar a alguien para conseguir información y dinero, que pasar horas tratando de violar un sistema de seguridad cibernética.
Esta técnica está incluida en la serie de ataques cibernéticos porque arremete directamente contra el usuario de Internet considerado el eslabón más débil del ciberespacio. Los ciberdelincuentes juegan con las emociones de sus víctimas.
El fraude cibernético del falso remate de flotillas ofertadas en portales electrónicos ficticios es un ejemplo. Con engaños, los estafadores consiguieron datos personales y dinero, y no hicieron más que contestar las llamadas que por su cuenta hicieron los cibernautas afectados tan pronto vieron los anuncios de los automóviles a precio de ganga. Generaron en ellos confianza y luego les crearon la urgencia de pagar por una camioneta porque si no lo hacían otro se las ganaría.
“Las camionetas y los autos se han vendido muy rápido, del modelo que usted quiere solo nos queda una y ya casi se vende, pero si de verdad la quiere comprar apóyenos depositando el cincuenta por ciento y se la apartamos hasta por diez días, la pasamos a bodega, o si paga todo completo se la mandamos a su domicilio sin ningún costo extra. Se han vendido muy rápido”, esta fue la estrategia que usaron los ciberdelincuentes cuando Norberto llamó a la supuesta planta de Petróleos Mexicanos (Pemex) que remataba sus vehículos de flotilla.
“Tiene un precio de 56 mil 500 pesos, lo tenemos por lote completo o por unidad. Tenemos alta reputación, se está comunicando a una empresa bastante grande. Cuando haga el pago se va a dirigir a la torre 25 con su váucher de transferencia bancaria y ya pasaríamos al patio vehicular, sino se presenta con el váucher no tendría acceso a la torre”.
Para continuar la lectura
Sobre Ingeniería Social e Internet
La ingeniería social no surgió con la invención de las computadoras ni de los sistemas digitales; los timadores, estafadores, defraudadores y otros delincuentes tienen éxito gracias a la manipulación dolosa de sus víctimas.
Y así como los delincuentes antes iban a las plazas comerciales, a los parques o deambulaban por la calle en busca de una presa, ahora migran del espacio físico al ciberespacio porque las personas padecen las mismas debilidades con y sin internet.
Además, el internet, como herramienta digital, disminuye para los estafadores la probabilidad de que sean identificados.
“La mentira ha adquirido nuevo nombre y dimensión en Internet, donde el riesgo para quien engaña es menor que cara a cara. Las estrategias se han complicado, “ingenierizado”. Profesionales del tocomocho (estafa), espías industriales, ‘crackers’, escritores de virus, bromistas y, en general, la estructura abierta y confiada de la red han convertido a la ingeniería social en el crimen más difícil de combatir”, escribió Mercé Molist, en su artículo Ingeniería Social: mentira en la red, publicado por GRN.es.
La ingeniería social inicia con el sabotaje; en el ciberespacio el ciberdelincuente crea un sistema ficticio o una estructura de engaño que sirve para acercarse al usuario de internet hasta ganarse su confianza.
A la fase del sabotaje le sigue una etapa de alerta; se genera en el usuario la sensación de miedo o de urgencia ante la que tiene que reaccionar y buscar una solución.
En la tercer y última fase, la de asistencia, el ciberdelincuente le ofrece al cibernauta esa solución.
Los ciberdelincuentes involucrados en el fraude cibernético del falso remate de flotillas a través de portales electrónicos clonados están preparados, conocen la jerga de una empresa y de su estructura corporativa, cómo responde el personal asignado a cada una de las oficinas y departamentos; y también prevén la reacción de su víctima.
Aunque suene crudo para las víctimas de la estafa, esta es una estrategia de ingeniería social exitosa.
Los estafadores lograron su objetivo que, sin duda, era obtener documentos personales y dinero de las víctimas, y no tuvieron la necesidad de violar algún sistema de seguridad, no hicieron más que manipular, con engaños, las emociones de quienes cayeron en la estafa e inducirlos a que por sí mismos depositaran el capital, ya fuera en ventanilla o por transferencia bancaria.
Asimismo, que por correo electrónico enviaran copia de su credencial de elector y comprobante de domicilio. El dinero lo transfirieron a las cuentas de las casas de juegos en Lima, Perú; mientras que los documentos con datos personales probablemente les eran útiles para continuar la dinámica de abrir cuentas en el sistema bancario mexicano con el robo de identidad.
Kevin Mitnick, un famoso hacker estadounidense, dedicado a la consultoría y asesoramiento en materia de seguridad, afirma en su libro The Art of Deception. Controlling de Human Element of Security, que las instituciones públicas y privadas podrán invertir todos los recursos posibles en herramientas de ciberseguridad para mantener a salvo la información que poseen de los ciberdelincuentes, pero no servirá de mucho sino se apuesta por la capacitación del factor humano, al que denomina el eslabón más débil de la cadena de seguridad en el ciberespacio.
“A pesar de los esfuerzos de los profesionales de la seguridad, la información en todas partes sigue siendo vulnerable y seguirá siendo vista como un objetivo de los atacantes con habilidades de ingeniería social, hasta que el eslabón más débil en la cadena de seguridad sea fortalecido, el eslabón humano”.
Mitnick considera que el uso de Internet para el comercio electrónico modificó “dramáticamente” la seguridad; sin embargo, el desplegar más tecnología no va a resolver el problema de la seguridad humana.
En el mundo de los expertos en ciberseguridad e ingeniería social, dicen que la computadora más segura es aquella que permanece apagada y aun así, siempre existirá la posibilidad de convencer a alguien para que la encienda, porque no hay un solo ordenador que no dependa de un ser humano.
“Muchos ataques de ingeniería social son complejos, implican una serie de pasos y una planificación elaborada, combinando una mezcla de manipulación y conocimientos tecnológicos. Pero siempre me parece sorprendente que un ingeniero social hábil pueda lograr su objetivo con un ataque simple y directo. Solo pedir directamente la información puede ser todo lo que se necesita”.
Para continuar la lectura
Ingeniería Social; una reflexión
Entonces, en el ciberespacio, la dificultad total no son las máquinas; parte del problema es el factor humano, la gente que requiere desarrollar educación y habilidades digitales enfocadas en cómo usar con seguridad las tecnologías de información y comunicación.
Cuando la Secretaría de Seguridad y Protección Ciudadana (SSyPC) alertó sobre el portal www.fordplanta.mx, el cual suplantó la identidad de la empresa automotriz Ford para un esquema de fraude mediante la venta de vehículos inexistentes, acompañó la alerta con una serie de recomendaciones: verificar el sitio oficial de la empresa; de ser posible, solicitar al vendedor la ubicación física donde se puede comprobar la existencia del vehículo; no entregar ningún documento que contenga información personal hasta validar la legalidad de la oferta.
Son hábitos de educación digital que debe adoptar el usuario de Internet antes que integrarse a la estadística de los delitos cibernéticos como consecuencia de las dificultades del Estado para perseguir y sancionar el cibercrimen.
No se trata de revictimizar a quienes han sido víctimas de ciberdelitos, sino de fomentar la corresponsabilidad del uso seguro del Internet en el ciberespacio, de empoderar al usuario con el reconocimiento de sus derechos digitales y técnicas de autoprotección porque de nada servirá tener la mejor estrategia de ciberseguridad proporcionada por las autoridades si las personas siguen publicando datos sensibles y no resguardan celosamente la información personal que puede perjudicar su vida si tiene mal uso.
Para la ciberdelincuencia todos los cibernautas son un objetivo. Decir a mí no me va a pasar no es una afirmación del todo acertada; en ocasiones una persona, a través de su personalidad digital, puede ser utilizada para llegar a otra más vulnerable.
Tras vivir la traumática experiencia del fraude cibernético del falso remate de flotillas a través de portales electrónicos ficticios, las víctimas navegan con mayor cautela en el ciberespacio cuando usan Internet. Aprendieron a validar un portal electrónico falso de uno auténtico; saben que cuando en la barra de direcciones hay un candado abierto el sitio electrónico es inseguro, evitan abrir correos electrónicos desconocidos, no exponen sus datos personales.
Y para evitar que otros caigan en la estafa, cada que se encuentran una página electrónica falsa la reportan ante las autoridades o a través de los botones de denuncia que habilitaron las redes sociales.
A su vez, las empresas adoptaron mecanismos de ciberseguridad que detectan a tiempo el registro de dominios con nombres similares a su identidad corporativa, además emiten alertas a los cibernautas para prevenir que sean víctimas del fraude cuando han detectado que sus portales electrónicos fueron clonados.
Los particulares y las grandes corporaciones adquieren mecanismos de autoprotección para colaborar en la construcción de un ciberespacio seguro y confiable.
Eso no exime al gobierno de la obligación de desplegar una estrategia de ciberseguridad efectiva simultáneamente con su política de incrementar el acceso a Internet en el entendido de que las actividades en el ciberespacio, hoy en día, son necesarias para el desarrollo económico, social y educativo.
No obstante, el Estado ha sido omiso en la protección del ciberespacio, y la omisión en sí misma es un abuso de poder, considerado un delito contra la administración pública que se concreta cuando un funcionario público, ilegalmente omite, rehúsa hacer o retarda algún acto de su oficio que debe cumplir.
No combatir la delincuencia y ciberdelincuencia, por complicidad con esta o por evasión de responsabilidades, representa un abuso del poder público que provocaría, como consecuencia, la captura del Estado por parte del crimen organizado que opera en el espacio físico y en el ciberespacio.
Al capturar el Estado, la delincuencia también se apodera de la capacidad de establecer sus propias leyes y derechos a través del cobro de cuotas, la extorsión, el cobro de derecho de piso, el secuestro, la ciberdelincuencia, etcétera; y se convierte en una fuerza pública capaz de someter a ciudadanos y gobiernos con descarada impunidad.
La ciberseguridad pública es la cuarta dimensión de operaciones de las corporaciones policiales con la que el Estado hará frente a la ciberdelincuencia y protegerá, en el espacio cibernético, las actividades de los cibernautas individualmente o constituidos como empresa, a fin de no solo dejar a ellos la responsabilidad de autoprotegerse.
No custodiar el ciberespacio, no combatir el cibercrimen y tampoco sancionarlo, pondrá en evidencia el traslado de la inseguridad e impunidad del espacio físico al ciberespacio.
