Cómo los ciberdelincuentes utilizan la ingeniería social para engañar a las personas
La ingeniería social es una estrategia empleada por los ciberdelincuentes para obtener información confidencial, acceder a sistemas o llevar a cabo acciones perjudiciales a través de la persuasión, el engaño o la explotación de la confianza de las personas. A diferencia de los ataques cibernéticos que explotan vulnerabilidades técnicas, la ingeniería social se enfoca en aprovechar la ingenuidad, amabilidad o falta de conocimiento de las víctimas para alcanzar sus objetivos.
Un ejemplo común de ingeniería social es cuando un atacante envía correos electrónicos falsificados que aparentan ser de una empresa legítima, como un banco o una red social, solicitando a la víctima que revele sus credenciales de inicio de sesión. La víctima, engañada por la apariencia legítima del mensaje, proporciona sus datos personales y financieros.
Los estafadores comprenden los comportamientos humanos y saben cómo manipular a las personas, aprovechando elementos como la confianza. Un caso destacado es la suplantación de identidad telefónica, donde los delincuentes se hacen pasar por técnicos de soporte y afirman que existe un problema en la computadora de la víctima que necesita reparación. También se hacen pasar por empleados de empresas y solicitan información confidencial o contraseñas. La falta de verificación adecuada de la identidad puede llevar a la divulgación de información sensible y pérdidas financieras.
El caso de la estafa de phishing dirigida a Google y Facebook por el estafador lituano Evaldas Rimasauskas ejemplifica cómo incluso las grandes empresas pueden caer en la trampa de la ingeniería social. Rimasauskas se hizo pasar por un fabricante de hardware informático y engañó a ambas compañías para que transfirieran más de 100 millones de dólares a sus cuentas.
Además, los ciberdelincuentes explotan el deseo humano de mantener relaciones, hacer un buen trabajo y evitar problemas. Crean perfiles falsos en redes sociales para establecer relaciones de confianza con personas reales, con el propósito de obtener información personal o persuadirlas para que realicen acciones perjudiciales, como hacer clic en enlaces maliciosos o enviar dinero.
El “spear phishing” es un ejemplo donde los estafadores personalizan mensajes para víctimas específicas, utilizando información recopilada previamente de fuentes públicas o redes sociales para que la comunicación parezca más creíble y aumente la probabilidad de éxito.
Los ataques de ransomware por ingeniería social también son comunes, donde los delincuentes envían correos electrónicos con archivos adjuntos maliciosos o enlaces que parecen legítimos para persuadir a la víctima. Al hacer clic o descargar el archivo, la computadora se infecta con programas maliciosos que cifran archivos y exigen un rescate.
Un caso real ilustra cómo un estafador se hizo pasar por un empleado bancario, comprometiendo la seguridad financiera de un individuo. El estafador, con información personal detallada, persuadió a la víctima para que proporcionara datos bancarios. Sin embargo, la víctima posteriormente verificó la autenticidad de la llamada con el banco y tomó medidas para proteger sus cuentas e informar el incidente.
Este caso subraya la importancia de la educación y la conciencia sobre la ingeniería social. También enfatiza la necesidad de verificar la autenticidad de las comunicaciones y nunca proporcionar información personal o financiera sin confirmar la identidad del remitente.
