Los ciberdelincuentes utilizan esta técnica por la facilidad y el bajo costo que se requieren al desplegar recursos tecnológicos para engañar a alguien, en comparación con la complejidad de intentar vulnerar sus sistemas de seguridad. Bajo este escenario, la vulnerabilidad eres tú, los actores maliciosos que emplean la ingeniería social tratarán de ofrecerte algo que capte tu interés sin que puedas sospechar que ellos están detrás.

Pueden incitarte a abrir archivos adjuntos, se harán pasar por otras personas que te resulten de confianza con el fin de obtener acceso a información privilegiada, o incluso tratarán de hacerte creer que tu equipo está infectado con un programa maligno (malware) para ofrecer una solución que supuestamente lo desinfecte. Y es que los ataques de ingeniería social son cada vez más frecuentes y sofisticados, ya que no se trata solo de caer en una trampa, sino cómo los delincuentes cibernéticos la personalizan.

¿Cómo reconocer ataques de ingeniería social?

Cualquier consejo o ayuda no solicitada debe tratarse con precaución, especialmente si consiste en hacer clic en un enlace o descargar algún programa bajo cualquier excusa, ya que probablemente te encuentres ante un intento de fraude por ingeniería social.

Del mismo modo, cualquier petición de tus contraseñas o información financiera es un truco, ya que las instituciones legítimas nunca te pedirían una contraseña a través de correo electrónico, mensajería instantánea, redes sociales, teléfono, etc.

Defensa, consideraciones y buenas prácticas ante la ingeniería social

• Si recibes algún mensaje o correo electrónico de un remitente desconocido, trátalo con especial cuidado ya que no solamente podría ser un correo con información falsa, sino que podría contener archivos adjuntos maliciosos o enlaces que no son lo que parece ser e intenten comprometer tu equipo.
• Desconfía de los chantajes o extorsiones que podrías recibir por teléfono o en tu correo electrónico. Normalmente los atacantes buscarán captar tu atención con mensajes alarmantes y pedirán un rescate sobre una supuesta información tuya que realmente no tienen. Este tipo de chantajes generalmente suelen provenir de remitentes desconocidos.
• También desconfía si a través de una llamada telefónica alguien dice ser el técnico/trabajador de un servicio y bajo cualquier excusa te pide que descargues una aplicación determinada, que confirmes datos de tus tarjetas bancarias, que realices algún pago, etc. Nunca atiendas sus peticiones, primero confirma con terceras fuentes de confianza que realmente es quien dice ser.
• Como una medida de protección general, debes tener siempre presente que las entidades bancarias nunca solicitan información confidencial por correo electrónico, vía telefónica, SMS o cualquier otro canal, por lo tanto, ten cuidado con los mensajes que recibes y aparentan ser legítimamente de tu banco, pero que realmente no lo son.
• Al navegar por Internet y acceder a tus sitios Web favoritos, verifica siempre que no se trate de un sitio falso o inseguro, por ejemplo, asegúrate de que siempre utilice un protocolo seguro de comunicación (identifica que la URL inicie con “https”); también debes confirmar que la dirección del sitio Web sea del dominio correcto. Por ejemplo, si un banco ofrece servicios en línea y con total seguridad sabes que su dirección Web es “www.bancox.com”, no abras enlaces que te redirijan a otras direcciones Web que no correspondan al verdadero sitio oficial que quieres visitar.
• El termino Phishing es utilizado para referirse a uno de los métodos más utilizados por delincuentes cibernéticos para estafar y obtener información confidencial de forma fraudulenta como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria de la víctima. Una característica que aprovecha el Phishing es que las direcciones de páginas Web auténticas pueden intentar ser suplantadas con un simple cambio en las palabras que conforman la URL (en el caso anterior, la página falsa podría ser, por ejemplo, www.banncox.com, en donde se ha introducido una n adicional). El simple hecho de que se parezcan la URL falsa y la legítima provoca que muchos usuarios desprevenidos caigan en este tipo de engaños.

Referencias:
https://www.fireeye.com/blog/executive-perspective/2020/03/managing-email-phishing-risks.html
https://globbsecurity.com/el-exito-de-mas-del-99-de-los-ciberataques-depende-de-la-interaccion-humana-45026/
https://www.itdigitalsecurity.es/actualidad/2020/06/un-tercio-de-las-organizaciones-sufrieron-mas-ciberataques-en-el-ultimo-ano