El presente tema es muy importante de tratar por la connotación que tiene hoy en la sociedad, sea a nivel de estado, de empresas o de personas naturales. Muchos son los nuevos conceptos informáticos que se han creado en relación con la seguridad y protección de las redes sociales de comunicación, los cuales se han incorporado rápidamente en el mundo cultural tecnológico. Considerando ello, he elegido comentarlo, no porque sea un experto en él, sino porque de una u otra forma, estoy inmerso, al igual que ustedes, en el campo de las comunicaciones informáticas, estando permanentemente en la probabilidad de ser objeto de un ciberataque, sea a través de un celular telefónico, una tablet, un notebook o un Pc, y debemos tener algún conocimiento e información al respecto para disminuir las brechas de riesgo que pudieran afectarnos, aunque, por cierto, muchos ya conocen este tema. De manera que identificaré algunos conceptos más usuales y comentaré sucintamente, considerando lo expuesto por muchos expertos en las redes de internet, como repercuten estas amenazas a nivel de estado, de empresas y de personas, utilizando técnicas de lo que se ha llamado “ingeniería social”.
Conceptos
Phishing. Los ataques de phishing son mensajes digitales o de voz que intentan manipular a los destinatarios para que compartan información confidencial, descarguen software malicioso, transfieran dinero o activos a las personas equivocadas, o realicen alguna otra acción perjudicial. Los estafadores elaboran los mensajes de phishing para que parezcan o suenen como si procedieran de una organización o persona de confianza o creíble; a veces, incluso de una persona a la que el destinatario conoce personalmente.
Baiting. Mediante un señuelo se atrae (sin doble sentido) a las víctimas para que, consciente o inconscientemente, faciliten información confidencial o descarguen código malicioso, tentándolas con una oferta valiosa o incluso un objeto de valor. Ejemplos actuales son las descargas gratuitas de juegos, música o software infectados con malware. Aunque algunas estratagemas utilizadas como señuelo no son nada elaboradas. Por ejemplo, algunos actores de amenazas dejan unidades USB infectadas con malware donde la gente las encuentra, cogen y utilizan porque «oye, un USB gratis».
Malware. Este término hace referencia al software malicioso, e incluye cualquier sistema de software que afecte los intereses del usuario. Puede afectar no solo a la computadora o al dispositivo infectado, sino también a cualquier otro dispositivo con el que este pueda comunicarse. Los más comunes y conocidos por todos son los Virus. Estos pueden borrar archivos, carpetas, datos en general. También son conocidos los Spyware o programas espías, cuyo fin es acceder a información sin nuestro permiso, como mensajes de correo, tarjetas de crédito, contraseñas y datos en general. Los Gusanos es otra variedad de malware que se introducen en nuestro sistema informático creando innumerables copias de sí mismos y su objetivo es colapsar la red o los equipos. Los Troyanos son archivos que al ser abiertos se activan y con ello acceden a datos de nuestro ordenador o dispositivo. Los Bots maliciosos son programas diseñados para ejecutar acciones no deseadas por el usuario. Los adwares son programas diseñados para invadir sistemas con publicidad no deseada. Este tipo de malwares se pueden prevenir instalando anti-virus, anti-malwares, anti-spyware y actualizándolos periódicamente. Es conveniente realizar análisis del ordenador con cierta periodicidad.
Ransomware. Es un tipo de malware que impide el acceso a ficheros, cifrando o encriptando todos los archivos, tanto del equipo como del sistema bloqueando su acceso. En el último tiempo, este tipo de malware se está distribuyendo con emails a miles de usuarios y empresas solicitando a cambio para liberar esa información un rescate económico, generalmente en forma de moneda digital o bitcoins.
Tailgating. En el tailgating, también llamado “piggybacking”, una persona no autorizada sigue de cerca a una persona autorizada hasta una zona que contiene información sensible o activos valiosos. El seguimiento puede realizarse en persona, por ejemplo, un actor de amenazas puede seguir a un empleado a través de una puerta desbloqueada. Pero el seguimiento también puede ser una táctica digital, como cuando una persona deja un ordenador desatendido mientras sigue conectada a una cuenta o red privada.
Pretextar. En el pretexto, el actor de la amenaza crea una situación falsa para la víctima y se hace pasar por la persona adecuada para resolverla. Con frecuencia (y lo que es más irónico), el estafador afirma que la víctima se ha visto afectada por una violación de seguridad y, a continuación, se ofrece a realizar las correcciones, para lo cual la víctima le proporcionará información importante sobre su cuenta o el control de su ordenador o dispositivo. Técnicamente hablando, casi todos los ataques de ingeniería social implican algún grado de pretexto.
Quid pro quo. En una estafa quid pro quo, los piratas informáticos ofrecen un bien o servicio deseable a cambio de la información confidencial de la víctima. Ganar concursos falsos o recompensas de fidelidad aparentemente inocentes («gracias por su pago, tenemos un regalo para usted») son ejemplos de estratagemas quid pro quo.
Scareware. También considerado una forma de malware, el scareware es un software que utiliza el miedo para manipular a las personas para que compartan información confidencial o descarguen malware. El scareware suele adoptar la forma de un falso aviso de las fuerzas de seguridad acusando al usuario de un delito, o de un falso mensaje de soporte técnico advirtiéndole de la presencia de malware en su dispositivo.
Ataque de abrevadero. Derivado de la frase «alguien envenenó el abrevadero»: inyectan código malicioso en una página web legítima frecuentada por sus objetivos. Los ataques de abrevadero son responsables de todo, desde el robo de credenciales hasta las descargas involuntarias de ransomware de tipo “drive-by”.
Drive-By. Este ataque, también conocido como descarga “drive-by”, distribuye software malicioso sin que el usuario se dé cuenta de que su dispositivo está en peligro. Comprender cómo funciona este proceso puede ayudar a limitar aquellas acciones de mayor riesgo y protegerse en línea.
Como habrán advertido, todos hemos tenido conocimiento en menor o mayor grado de estos conceptos y técnicas dolosas que están en lo que se ha llamado la ingeniería social, referida a las diferentes técnicas de manipulación que usan los ciberdelincuentes para obtener información confidencial de los usuarios. Estos engañan a sus víctimas haciéndose pasar por otra persona. Los ataques de ingeniería social manipulan a las personas para que compartan información que no deberían compartir, descarguen software que no deberían descargar, visiten sitios web que no deberían visitar, envíen dinero a delincuentes o cometan otros errores que comprometan su seguridad personal u organizacional.
Las tácticas y técnicas de ingeniería social se basan en la ciencia de la motivación humana; se estima que surgió originalmente de la filosofía, de Karl Popper (1902-1974), que acuñó el término en 1945 y con ello se refería inicialmente a los elementos sociológicos y psicológicos para mejorar las estructuras sociales (si podemos mejorar las máquinas, ¿porque no también mejorar los humanos?). Manipulan las emociones e instintos de las víctimas de formas que se ha demostrado que llevan a las personas a tomar medidas que no son las más convenientes para sus intereses.
La mayoría de los ataques de ingeniería social emplean una o más de las siguientes tácticas:
- Suplantando la identidad de una marca de confianza: los estafadores suelen suplantar o simular a empresas que las víctimas conocen, en las que confían y con las que quizás hacen negocios a menudo o con regularidad, con tanta regularidad que siguen las instrucciones de estas marcas por reflejo, sin tomar las debidas precauciones. Algunos estafadores de ingeniería social utilizan kits ampliamente disponibles para montar sitios web falsos que se asemejan a los de grandes marcas o empresas.
- Hacerse pasar por una agencia gubernamental o una figura de autoridad: las personas confían, respetan o temen a la autoridad (en diversos grados). Los ataques de ingeniería social juegan con estos instintos con mensajes que aparecen o afirman provenir de agencias gubernamentales (por ejemplo: el PDI o SII o Tesorería), figuras políticas o incluso famosos.
- Inducir miedo o sensación de urgencia: la gente tiende a actuar precipitadamente cuando tiene miedo o prisa. Las estafas de ingeniería social pueden utilizar diversas técnicas para inducir miedo o urgencia en las víctimas. Por ejemplo, decirle a la víctima que una transacción de crédito reciente no fue aprobada, que un virus ha infectado su ordenador, que una imagen utilizada en su sitio web viola los derechos de autor, etc. La ingeniería social también puede apelar al miedo de las víctimas a perderse algo, lo que crea un tipo diferente de urgencia.
Sobre esta emoción primaria, el miedo, se sabe, desde un punto de vista científico, que condiciona la conducta de las personas, interfiriendo la razón en la toma de decisiones, alterando su comportamiento. Los miedos perturban los demás sentimientos, a los cuales inhibe o modifica, derivando en un proceder errático que enturbia el comportamiento y las relaciones sociales. El miedo, en este tema que nos ocupa, al ser manipulado por terceros ajenos, puede hacer actuar a las personas de un modo condicionado, según los intereses de quien o quienes lo están manipulando. Por consiguiente, para controlar este impulso, y no caer en “la trampa”, es necesario analizar bien el origen y la intensión de los contactos “online” que recibimos, y educarnos acerca de las posibles amenazas cibernéticas.
- Apelar a la codicia: La estafa del príncipe nigeriano, un correo electrónico en el que alguien que dice ser un miembro de la realeza nigeriana que intenta huir de su país y ofrece una gigantesca recompensa económica a cambio de los datos de la cuenta bancaria del destinatario o de un pequeño anticipo, es uno de los ejemplos más conocidos de ingeniería social que apela a la codicia. Este tipo de ataque de ingeniería social también puede provenir de una supuesta figura de autoridad y crea una sensación de urgencia, lo que constituye una poderosa combinación. Esta estafa es muy antigua, pero en 2018 todavía recaudaba 700.000 dólares al año.
- Apelar a la amabilidad o la curiosidad: las tácticas de ingeniería social también pueden apelar a la naturaleza bondadosa de las víctimas. Por ejemplo, un mensaje que parece provenir de un amigo o de una red social puede ofrecer ayuda técnica, solicitar participación en una encuesta, afirmar que la publicación del destinatario se ha vuelto viral y proporcionar un enlace falso a un sitio web falso o a la descarga de malware.
Con el avance de la Inteligencia Artificial (IA), las técnicas utilizadas por los ciberdelincuentes para manipular a las personas y hacer que revelen información confidencial se han vuelto más sofisticadas y efectivas, como utilizar el Phishing personalizado: la IA analiza datos de redes sociales para crear correos electrónicos de phishing muy convincentes, dirigidos a individuos específicos; los Deepfakes y suplantación de identidad que son vídeos, imágenes o archivos de voz manipulados con software de IA para parecer reales y auténticos. Los ciberdelincuentes pueden usarlos para extorsionar, cometer fraude o manipular a las víctimas para que realicen acciones perjudiciales; los Chatbots maliciosos que interactúan con las víctimas de manera muy convincente para obtener datos sensibles y cometer fraude; la Evolución de Patrones por medio de algoritmos de aprendizaje automático pueden estudiar y aprender de los sistemas de detección de fraudes, adaptando sus técnicas para evadir la detección.
Pero, ¿Existe alguna herramienta informática para protegernos de la ingeniería social?
Por lo que se sabe en la actualidad, la respuesta es No, ya que esos ataques son muy difíciles de identificar. Los ciberdelincuentes usan diferentes técnicas psicológicas y sociales, distintos tipos de dispositivos y plataformas para engañar a las personas. Solamente he de indicar que no se debe entregar datos personales a personas extrañas por teléfono, correos electrónicos o redes sociales. Hay que configurar la privacidad en las redes sociales para que no queden expuestos los datos personales, además de informarse, y aprender sobre este tipo de amenazas, usando una contraseña segura, configurar la autenticación en dos pasos para estar alerta de accesos indebidos a las cuentas, y prestar atención a cualquier persona que nos pida información personal.
En Chile, a raíz de que han ocurrido muchos ataques cibernéticos, como los sufridos por la Defensa Nacional, el Banco del Estado, y recientemente Isapre Colmena, y otros internacionales, el último cometido contra el Banco Santander incitó la aprobación el 26 de marzo y promulgación el 8 de abril de 2024 la Ley 21.663, que tiene como principal objetivo establecer un sistema normativo que proteja contra los ciberataques a las infraestructuras críticas y entidades tanto públicas como privadas. Cubre a todos los organismos del Estado y a las empresas privadas en las que el Estado tenga participación significativa, asegurando que todos los actores relevantes estén bajo un régimen de protección uniforme y eficaz, y para ello crea la Agencia Nacional de Ciberseguridad (ANCI). Esta agencia actúa como el principal órgano gubernamental en materia de ciberseguridad, con el poder de regular, controlar y aplicar la ley. Se le asigna la tarea de coordinar con otras instituciones del Estado y privadas para implementar las políticas necesarias y responder adecuadamente a cualquier incidente de seguridad, siendo apoyada por un Equipo de Respuesta a Incidentes de Seguridad (CSIRT) que es una organización dependiente de la ANCI, que es responsable de recibir, revisar y responder a informes y actividad sobre incidentes de seguridad. Esta Ley comenzará a estar operativa cuando se dicte uno o más decretos leyes por el Gobierno, al cual se ha considerado dar un plazo no inferior a seis meses desde la publicación de la Ley.
Conclusión
Como hemos expuesto, la seguridad en las redes sociales se refiere a estrategias que las empresas y los individuos pueden usar para proteger sus cuentas sociales de amenazas como hackeos, phishing y malware. La protección contra la ingeniería social comienza con la educación y el control de nuestros impulsos primarios como el miedo, la ambición, etc. Si todos los usuarios son conscientes de las amenazas, nuestra seguridad como sociedad mejorará. Asegurémonos de aumentar la conciencia sobre estos riesgos compartiendo información sobre sus efectos, y que acechan en las redes sociales, con nuestros familiares y amigos.
Autor del Artículo
Ricardo Escobar Urrutia
Ingeniero Comercial en el área de tributación fiscal. La cibernética es su afición desde siempre, ya que como ingeniero comercial ha tenido que lidiar con ella en su trabajo, especialmente en la prevención de delitos.