La primera aparición del concepto de ingeniería social fue en 1945 por Karl Popper que acuñó el término para referirse inicialmente a los elementos sociológicos y psicológicos para mejorar las estructuras sociales. El principio de Popper se basa en que las personas pueden ser orientadas o actualizadas al igual que los procesos o dispositivos. Por lo tanto, su objetivo no era robar datos, sino ayudar a la gente a depurar sus interacciones y concienciar en materia de seguridad.
En este sentido, la ingeniería social aparece allí donde las personas son la clave para obtener dinero o información de interés, y abarca varios tipos de manipulación psicológica. En términos de seguridad de la información, la ingeniería social se utiliza para beneficio del atacante. En estos casos, implica la manipulación para obtener información confidencial, como datos personales o financieros.
La ingeniería social se aprovecha de los sesgos cognitivos de las personas, que se pueden entender como fallos en el “hardware” humano. Por ejemplo, la tendencia humana de confiar en personas percibidas como amables, atractivas o con alguna autoridad puede usarse en nuestra contra en ataques de ingeniería social.
El peligro de estas prácticas de manipulación es que las víctimas no se dan cuenta de que están siendo manipuladas hasta que es demasiado tarde, y el delincuente ya ha tenido acceso a los datos confidenciales que buscaban. Estos ataques buscan información privada de los usuarios, lo cual puede conducir al robo de identidad, fraude de identidad, extorsiones…
Los ataques de ingeniería social a menudo aparecen como un mensaje de correo electrónico, de texto o de voz de una fuente aparentemente inofensiva. No obstante, también pueden ocurrir en persona, por teléfono o en Internet.
Tipos habituales de ataques de ingeniería social:
- Spam en el correo electrónico: Uno de los más habituales. Gran parte de toda la comunicación no solicitada que llega a la bandeja de entrada del correo electrónico. Generalmente se trata de una estafa para obtener sus datos personales.
- Phishing: Generalmente se lleva a cabo a través del correo electrónico y suele parecer legítimo. Es un tipo de ataque en el que los mensajes parecen provenir de una fuente fiable y están diseñados para engañar a las víctimas y que revelen sus datos personales o financieros.
- Baiting: Se refiere al caso en el que un atacante atrae a la víctima ofreciendo una oportunidad tentadora a modo de gancho, induciendo en esta curiosidad o perspectivas de grandes beneficios. También se puede dar al dejar un dispositivo infectado con malware (por ejemplo, una unidad USB) en algún lugar fácil de encontrar. Si alguien curioso lo recoge y lo conecta a su equipo, este podría infectarse.
- Vishing: Tipo de phishing que suplanta un número de teléfono para que parezca legítimo, de modo que los atacantes se hacen pasar por técnicos, compañeros de trabajo, etc. En ocasiones pueden utilizar filtros de voz.
- Smishing: Tipo de phishing que toma la forma de mensajes de texto, o SMS. Normalmente piden a la víctima que realice alguna acción inmediata a través de vínculos maliciosos en los que hacer clic o números de teléfono a los que llamar. Suelen transmitir una sensación de urgencia y se aprovechan de la confianza de las personas.
- Pretexting: Tipo de ataque en el que los estafadores se hacen pasar por otra persona, elaborando un escenario ficticio, para obtener datos personales. Pueden suceder en Internet o fuera de redes, y los atacantes investigan y espían a las víctimas para crear una historia (o pretexto) creíble con las que engañarlas.
