El principio detrás de la ingeniería social y estafas es que las personas somos, por lo general, el eslabón más débil de la cadena de seguridad.

Según un reporte de Verizon, en el 2015, el 23% de los destinatarios abrieron correos electrónicos de phishing y el 11% de estos hicieron clic en los archivos adjuntos que estos contenían. Considerando que diariamente se envían 2.5 billones de correos con malware, estaríamos dentro de un alto porcentaje de cibernautas que caen en lo que se conoce como ingeniería social.

La ingeniería social es una técnica de “romper” la seguridad tanto de las personas como de las empresas. El principio detrás de la ingeniería social y estafas es que las personas somos, por lo general, el eslabón más débil de la cadena de seguridad, es decir, puede ser más fácil engañar a las personas que introducirse en los sistemas informáticos por la fuerza. Los criminales digitales y los hackers tienen nuevos esquemas diseñados para comprometer (infectar) las computadoras, engañarnos para que revelemos información valiosa (personal, financiera, etc.), robar contraseñas o dejarnos sin dinero.

El Anual Security Report 2016, de Cisco, evidencia que 4 de los 5 principales hallazgos de seguridad que enfrentan las empresas están relacionados con sus empleados (es decir, existen vulnerabilidades en su “firewall humano”). Un 54% de personas descarga software malicioso, el 47% de brechas de seguridad es provocado por empleados, 46% son vulnerabilidades de software/hardware, un 43% usa sus propios equipos en la red de las compañías y el 39% de personas desconoce los riesgos que tienen sus equipos personales.

Muchas estafas por internet están orientadas al robo de identidad, robo regular, el acceso a nuestras cuentas e información personal. Solo hay que recordar que una computadora comprometida (o infectada) puede poner toda nuestra información y contraseñas en riesgo. Los hackers que utilizan la ingeniería social aprovechan nuestra tendencia natural de querer confiar y de actuar rápido en momento de crisis. Sin embargo, debemos saber reconocer las formas que presentan este tipo de ataques: suelen pedir información personal o privada, contraseñas, información de cuentas bancarias o dinero; suelen enviar correos electrónicos inesperados con un vínculo o un archivo adjunto; piden que reenviemos mensajes de correos electrónicos, archivos adjuntos, enlaces para nuestros amigos, compañeros de trabajo o familiares; o envían promesas de algo demasiado bueno para ser verdad (grandes ofertas, premios o recompensas).

Además, podemos mencionar otras características para detectar un correo electrónico fraudulento: no está dirigido a nosotros (en concreto, por nuestro nombre), no especifica el remitente (no es alguien que conozcamos o no coincide con la dirección del campo “De:”), tiene errores ortográficos o gramaticales, contiene un archivo adjunto con un nombre de archivo incorrecto o extensión sospechosa (* .zip, * .exe, * .vbs, * .bin, * .com, * .pif, * .zzx), tiene un enlace/archivo adjunto para ver una postal inesperada, incluya enlaces a fotos o videos de personas que no conocemos personalmente.

El phishing es una estafa diseñada también para robar información o contraseñas y, generalmente, se realiza mediante correos electrónicos, mensajes de texto al celular, mensajes en las redes sociales, pop-ups o llamadas telefónicas. Los estafadores suelen usar frases como “Hay un problema con su cuenta”, “Haga clic en este enlace”, “Abrir este archivo adjunto”, con el fin de engañarnos para que enviemos nuestra contraseña en un formulario fraudulento pero idéntico al original o para que hagamos clic en un enlace con el fin de “solucionar un problema” (que, en ocasiones, ni ha ocurrido).

La suplantación suele ser frecuente cuando los atacantes se hacen pasar por alguien con autoridad (nuestro empleador o de la empresa que nos brinda servicios), o un representante del área de TI, con el fin de obtener información o acceso directo a las cuentas de dichos sistemas. Los atacantes pueden investigar lo necesario de nosotros para que el mensaje que utilicen sea lo suficientemente “confiable”. Por ello que es importante saber que, como buena práctica internacional, nunca se nos pedirá nuestras contraseñas y otros datos personales vía telefónica o correo (salvo en los casos que nosotros nos comuniquemos directamente con la central de atención de la empresa). Este punto nos recuerda frecuentemente la Dirección de Tecnologías de Información mediante correos electrónicos a toda la comunidad universitaria PUCP.

Recordemos que la seguridad de la información no solo es un asunto de procesos y tecnología, sino principalmente de personas.