Aplicar principios sociológicos para solucionar cualquier tipo particular de problemas, o utilizar la manipulación de las posiciones sociales de los individuos para intentar cambiar la sociedad; son ambos, conceptos aplicables a la ingeniería social. Ahora bien, **en el contexto de la seguridad informática, la ingeniería social tiene que ver con la manipulación psicológica de las personas para extraer información de ellas**.
Existen muchas técnicas de este tipo que son usadas constantemente para cometer todo tipo de fraudes, a las que todos nos vemos expuestos simplemente por nuestra inescapable psicología humana.
El arte de hackear a la gente en lugar de a las computadoras
Quienes utilizan ingeniería social con propósitos maliciosos, tienden a decir que es más fácil "hackear" a un humano que hackear una computadora, simplemente porque la "gente es estúpida". Realmente no se trata de que una persona sea estúpida, se trata de gente no informada, o de que el perpetrador logra encontrar en la victima una debilidad para ganarse su confianza y luego explotarla.
Es más fácil hackear a un humano que a un ordenador.
Aplicar ingeniería social, es hacer que una persona confíe en ti con el propósito de extraer información de ella que luego usarás para tu propio beneficio. Es el arte de la manipulación. Habrán casos en los que para obtener las contraseñas o números de tarjeta de crédito de alguien solo baste con pedírselos como si fuese algo normal, y esa persona nunca se cuestionará las intenciones o la legitimidad de las palabras de quien solicita la información. Mientras que, alguien que esté al menos un poco familiarizado con este tipo de prácticas tal vez dude de el por qué debe dar esta información e intente verificar quien es en realidad el solicitante.
Nuestras debilidades naturales como humamos pueden ser explotadas en muchas ocasiones mucho más fácilmente que las de una red, un _software_ o un dispositivo. Bajo el uso de un escenario completamente inventado (pretexto) se puede persuadir a una persona de entregar información:
> -Buenos días, le estamos llamando de su compañía de cable para informarle que hubo un problema con su tarjeta de crédito al cancelar la factura de este mes, ¿podría ser tan amable de confirmarnos sus datos para intentar realizar el pago nuevamente?
La ingeniería social puede variar desde algo tan simple como el ejemplo anterior, hasta las estafas más elaboradas en las que una persona puede pretender ser alguien que no es, ganarse tu confianza por incluso meses, o hasta formar parte de tu circulo social para luego pedirte por alguna razón de la que no vas a dudar, información personal. El objetivo siempre es tener acceso a algo.
El pishing
El _pishing_ por ejemplo, es una técnica de ingeniería social que se puede aplicar por correo electrónico, o hasta en redes sociales. Todos hemos recibido alguna vez un email procedente de "nuestro banco" solicitando contraseñas, nombres de usuarios, o números de cuenta y tarjetas de crédito. Los bancos nunca solicitan información por correo y nunca debemos enviarla por este medio. Muchos emails de este tipo incluyen enlaces a sitios fraudulentos, o engañan al receptor bajo el pretexto de ser una empresa legítima que intenta verificar nuestros datos.
Este tipo de ataques tienen éxito porque los humanos simplemente somos susceptibles a la manipulación y podemos ser persuadidos para hacer muchas cosas si se presionan los botones correctos.
Cómo protegerme
Aunque podría decirse que solo con tener sentido común basta, esto solo es cierto para ataques simples y fáciles de detectar. Ser siempre desconfiado sea tal vez la única protección, pero no se puede estar tan alerta todo el tiempo.
Algunas medidas que podemos tomar son:
+ Verificar siempre la identidad de alguien que nos solicite información personal. Por ejemplo, si recibimos una llamada telefónica de un operador que nos solicita datos personales, podemos pedirle todos sus datos de empleado, pero la mejor manera de confirmar si es quien dice ser, es ofrecerle algunos datos ligeramente equivocados para contra-verificar que realmente es un operador y tiene en sus manos, la información correcta que dimos a la empresa.
+ No debemos nunca abrir archivos adjuntos ni hacer clic en enlaces de correos con remitentes desconocidos o sospechosos.
+ Nunca compartir números de cuenta, tarjetas de crédito, contraseñas, o nombres de usuario con nadie vía correo electrónico.
+ No reveles tus contraseñas a nadie, ni tampoco las mantengas a la vista en una nota en el escritorio ni nada parecido.
+ Cuando trabajamos con información sensible, procuremos estar pendientes de si alguien está observándonos. Ya sea la pantalla del ordenador en el trabajo, o hasta la del móvil en la calle. Este es básicamente el mismo consejo que te da el banco al usar un cajero automático, no permitir que nadie se acerque lo suficiente como para que pueda ver cuando ingresas tu PIN.
+ No creer cualquier cosa que te diga un extraño por muy "bueno" que parezca.