Hablemos de Estafas por Ingeniería Social

Muchos sistemas mordernos han sobrepasado el nivel de la contraseña para ofrecer seguridad. La contraseña se usaba que el sistema pueda validar que usted es quien dice ser (autenticación), en este caso preguntando algo que usted “sabe”. Se supone que nadie más sabe su contraseña, así que si la digita correctamente, el sistema supone que usted es usted. Pero eso no es siempre cierto, dado que alguien puede haberse robado la contraseña o haberla adivinado. Es ahí donde la seguridad pensó en otros niveles.

Para validar si usted es usted, el sistema entonces utiliza otros canales de comunicación para hallar un segundo factor de autenticación. En este caso, el sistema mandar un código de información a algo que usted debe tener y nadie más, como su celular o un correo. Si usted digita ese segundo código, el sistema estará más seguro de que usted es usted. ¿Puede violarse ese nivel de seguridad? Sí, de muchas maneras y muy fácil.

Una de esas maneras es la ingeniería social. Esta “disciplina” se encarga de obtener información de la personas libremente sin que esta se esté dando cuenta de lo que está brindando o para qué servirá. Fue así cómo el conocido político Roberto Gallardo fue engañado. ¿Cómo funciona la ingeniería?

Primero que nada, los ingenieros sociales deben hacer sentir a la víctima segura. Las personas, usualmente confiadas, son engañadas fácilmente si les presentan logos, colores, sonidos que ellos conocen y les son familiares. Como por ejemplo, hacer una página que sea idéntica a la de un banco o poner grabaciones en el teléfono justo como las que salen en los bancos. A pocas personas se les puede ocurrir que todas esas cosas pueden ser copiadas, y que eso es sencillísimo. Por tanto, no, un sonido o un color no son suficientes para que uno puede determinar si quien lo está llamando es quien dicen ser. Tampoco que sepan mi nombre, número de teléfono, fecha de nacimiento, etc. Toda esa información es posible obtenerla de otros sitios.

Lo segundo que hacen los ingenieros sociales es crear una necesidad o atracción. Por ejemplo, le pueden decir que usted ganó un premio, o que necesita hacer un proceso porque perderá algo (acceso a correo y a sus cuentas), o que es algo cotidiano y que se está haciendo con todo el mundo (como lo de la cuenta IBAN). Ninguna persona daría sus datos si no sintiera la necesidad de hacerlo.

Lo tercero que hacen es solicitar sus datos de forma que la gente crea que se está usando para algo que es completamente lógico, y que no sepa para qué se necesita esa información en realidad. Veamos el caso de don Roberto (aquí lleno los espacios en blanco con algunas conjeturas).

Un tipo lo llama diciendo que es del Banco Nacional, le pone música en el teléfono y todo y también le cuenta muchos datos personas (encontrables por todos lados). Le dice que necesitan crear un acceso la cuenta IBAN transacciones internacionales y la víctima les cree. Ellos le dicen que llegará un correo del banco con un código y que él debe o digitarlo o decírselos. Claro, los maleantes lo que hacen es meterse al sitio del banco y simular ser la víctima, solicitando un cambio de contraseña. El banco, para asegurarse de que la víctima sea quien dice ser, manda un mensaje con un código por correo a la víctima. Esta recibe el mensaje, que viene del banco, y no tiene ya duda de que es real todo (el correo viene del banco, ojo). Lo que la víctima no sabe es que ese código es para cambiar su clave, no para activar el IBAN. Luego de proceso, los meleantes terminan obteniendo un código que supuestamente solo lo podría ver la víctima, porque ella misma se los dijo engañada.

¿Es todo el mundo engañable? Sí, si uno no se cuida, puede caer muy sencillo. Lo que tenemos que hacer es tener mucho cuidado con las llamadas, ofertas en facebook, correos urgentes, cualquier cosa pase por las etapas mencionadas arriba: ser identificable, crear necesidad y pedir información. Entonces:

1. Me encuentro una publicación con una promoción de una institución X que conozco, tiene todos los colores, lo logos, incluso es el nombre de la institución en Facebook, y me dice que para participar tengo que ingresar con mi usuario… pero no debo creer solo porque se parece, mejor llamo directamente a la institución y pregunto si esa oferta es real.

2. Recibo llamada de una institución con quienes tengo relación para decirme que tengo que realizar X proceso. Saben mi nombre, mi teléfono, mi edad, mi fecha de nacimiento e incluso el nombre de mi esposa e hijos. La música de fondo es la misma y me tratan con todo el profesionalismo del caso. Deben ser ellos, ¿cierto? No hay que creer, es mejor decirles que llamen después, y hacer uno una llamada a la institución preguntando si es cierto que están llamando para realizar esos procesos mencionados.

3. Recibo un correo diciéndome que algo pasó y que necesitan mi acción urgente, que tengo que ir a X sitio haciendo click en un link que viene en el correo. Cuando lo hago, aparece una página identíca, con los mismos logos y todo a la institución de la que recibo el correo. Debo ingresar, ¿verdad? No, verifique la seguridad de la página. No es suficiente que tenga “el candadito”, debe necesariamente ser un certificado emitido para esa entidad por alguien válido. Si no sabe cómo revisar el certificado, llame a la institución y consulte.

En todos los casos, es mejor llamar e incluso poner la denuncia. Si en su cuenta bancaria solo hay arañas que tejen y usted dice que nada le pueden robar, tenga en cuenta que a veces usan su cuenta para pasar dinero robado de otras cuentas y luego pasarlo a cuentas de terceros, con el fin de perder el rastro del mismo, y su cuenta y su nombre quedarían involucrados en ilícitos.

¿Entendido?

Deja un comentario