Ingeniería social: comprenda la técnica que supone un alto riesgo para la seguridad digital

En lo que respecta a los ciberataques , se habla mucho de códigos y algoritmos. Pero una técnica ha estado ganando atención —todo porque no requiere programación, solo contacto humano—: la ingeniería social.

Es un método de manipulación psicológica ampliamente utilizado para hacer que las personas revelen información confidencial , realicen acciones dañinas o permitan el acceso a los sistemas.

Los delincuentes han utilizado esta técnica para llevar a cabo estafas que eluden incluso las tecnologías de seguridad más avanzadas . La amenaza crece a medida que las personas exponen más información personal en línea y en redes sociales.

Si desea mantenerse informado y comprender mejor este y otros tipos de fraude que pueden ocurrir digitalmente, inscríbase en el curso "En la Mira de las Estafas" . Impartido por el jefe de policía Emmanoel David, es una iniciativa de Gazeta do Povo .

¿Cómo utilizan los delincuentes la ingeniería social?

Según el delegado Emmanoel David, jefe de la División de Fraude de Curitiba y especialista en Derecho Penal, Procesal Penal y Criminología, El éxito de las estafas de ingeniería social reside en explotar las emociones y reacciones humanas predecibles, ya que los humanos son el eslabón más débil de la seguridad digital. « En lugar de que el delincuente ataque directamente la máquina, como en un ataque de fuerza bruta o un intento de hackeo, explotan el comportamiento humano. Es casi una tortura psicológica, basada en la confianza de la persona, el miedo a ciertas circunstancias o, en algunos casos, la explotación de la empatía », explica.

Según el jefe de policía, la ingeniería social digital es muy eficaz porque no es ficticia: utiliza datos reales de la víctima . « Es eficaz porque explota las emociones humanas y porque los delincuentes tienen esta información al alcance de la mano ».

Los delincuentes, especialmente los estafadores que operan en persona, son extremadamente hábiles. " Utilizan clickbait, técnicas de marketing de guerrilla y pagan por anuncios de Google. Captan la atención de la víctima como si se tratara de una campaña publicitaria ", afirmó.

Los delincuentes manipulan utilizando la confianza, el miedo, la urgencia y la empatía. Este es el caso, por ejemplo, de la estafa del billete ganador. Saben cómo acceder a la psique de la persona: ven una supuesta ventaja, pero en realidad, quieren ayudar al estafador. Hoy en día, más del 90 % de los delitos en línea utilizan la ingeniería social. Es mucho más fácil lanzar una estafa de phishing y engañar a la víctima para que abra la puerta trasera del sistema que para el delincuente hackearlo por sí solo », añade.

En tiempos de estafas digitales, especialmente las realizadas mediante ingeniería social, es fundamental reforzar la seguridad digital. (Foto: Towfiqu Barbhuiya | Unsplash)

El delegado se refiere a un tipo de ataque de ingeniería social llevado a cabo a través del correo electrónico o las redes sociales, en el que los delincuentes intentan engañar a las personas para que divulguen información personal confidencial, como contraseñas, números de tarjetas de crédito o datos bancarios , haciéndose pasar por una entidad confiable.

Además del phishing , Emmanoel cita otras estafas de ingeniería social, como:

“ Cuando alguien te llama haciéndose pasar por un banco, Esto es vishing, una forma de estafa por voz. El smishing, en cambio, se realiza mediante mensajes de texto (SMS). También hay estafas en persona ", explica.

¿Cuáles son las estafas de ingeniería social más comunes?

El jefe de policía enumeró algunos de los principales tipos de estafas de ingeniería social que se han utilizado con frecuencia. Consúltelos:

Estafa de WhatsApp clonado

El delincuente, haciéndose pasar por un empleado de la operadora o del propio WhatsApp , obtiene el código de verificación y accede a la cuenta de la víctima. Desde allí, se hace pasar por ella y empieza a pedir dinero a amigos y familiares con excusas plausibles, como haber excedido su límite.

Suplantación de identidad (phishing)

Como se mencionó anteriormente, esto se realiza por correo electrónico o SMS, donde el estafador envía mensajes falsos que simulan provenir de bancos, el Servicio de Impuestos Federales (SIF), el Instituto Nacional del Seguro Social (INSS) o tiendas reconocidas , con enlaces que dirigen a sitios web falsos. En este caso, la ingeniería social apela al miedo y la urgencia, con frases como "Última oportunidad para regularizar su CPF" o "Actividad sospechosa en su cuenta".

Centro de llamadas falso

El delincuente llama a la víctima haciéndose pasar por un empleado del banco y afirma que ha habido intentos de piratería o transacciones extrañas en la cuenta. A partir de ahí, la convence de proporcionar contraseñas, tokens o incluso transferir fondos a cuentas supuestamente seguras que, en realidad, pertenecen a los estafadores.

¿Qué garantiza la ley brasileña frente al fraude digital?

David explica que la ingeniería social en seguridad de la información se considera un delito cuando se utiliza para cometer estafas.

Dependiendo de la forma como se practica, puede clasificarse en diferentes tipos penales previstos en la legislación brasileña, como el fraude , previsto en el artículo 171 del Código Penal, que se caracteriza por la obtención de una ventaja ilícita en detrimento de otro, mediante artificio, engaño o cualquier otro medio fraudulento.

También puede caracterizarse como invasión de dispositivo informático , previsto en el artículo 154-A del Código Penal, que trata de la invasión de computadoras, teléfonos celulares y otros dispositivos con el objetivo de obtener, alterar o destruir datos sin autorización de su titular.

También puede clasificarse como falsedad ideológica , cuando el delincuente inserta o altera información falsa en documentos con la intención de perjudicar u obtener una ventaja; o falsificación documental, que consiste en la utilización o producción de documentos falsos con fines ilícitos.

“ Además de estos delitos, también se pueden aplicar las sanciones previstas en el Marco Civil de Internet, que regula el uso de internet en Brasil, y en la Ley General de Protección de Datos (LGPD), especialmente en los casos que involucran el uso indebido de la información personal de las víctimas ”, enfatiza.

¿Cómo protegerse de los ataques de ingeniería social?

David afirma que la ingeniería social es una de las mayores amenazas a la ciberseguridad actual. « Hoy en día, la tecnología es bastante avanzada; contamos con firewalls, antivirus y un cifrado robusto para proteger las transacciones. Por ejemplo, una conversación de WhatsApp entre una madre y su hijo es muy segura gracias al cifrado, pero el eslabón más débil de este sistema es el ser humano ». Por lo tanto, ¡es importante protegerse!

Por lo tanto, enumera una serie de medidas para evitar estafas. " Tenga cuidado con las situaciones que requieren urgencia. No haga clic en enlaces sospechosos y nunca proporcione información personal sin confirmar la identidad de la otra parte . Pregúntese: ¿es realmente el gerente de su banco? Cuelgue, respire hondo y rompa la urgencia. Llame directamente al banco o acceda a él a través del canal oficial. Compruebe la URL: ¿el sitio web tiene un "https" genuino? ", recomienda.

El experto también enfatiza la necesidad de que las personas fortalezcan su presencia digital. " No expongan demasiado su vida en línea. Usen la autenticación de dos factores siempre que sea posible. Esto ayuda a evitar que los delincuentes accedan a su información incluso si tienen su contraseña ".

Sin embargo, no es solo responsabilidad del usuario protegerse. Las organizaciones necesitan capacitar a sus empleados para reconocer los intentos de manipulación. Es fundamental implementar políticas de seguridad de la información y fomentar la concienciación dentro de la empresa, lo que debería promover capacitaciones periódicas de concienciación y prevención contra estafas de ingeniería social. También se deben realizar simulacros de phishing para que los empleados aprendan a identificar estas amenazas. Asimismo, es importante realizar pruebas de seguridad, como las de pago, para evaluar las vulnerabilidades del sistema .

Además, las empresas deben crear protocolos sólidos de verificación de identidad para las comunicaciones. « Quienes establecen contactos externos deben seguir normas claras sobre cómo demostrar su identidad. El acceso a datos sensibles debe ser limitado », concluye.