La ingeniería social intenta por medio de todo tipo de artimañanas que desvelemos información privada o incluso que realicemos acciones perjudiciales para nosotros mismos. Dicho de otra manera: que intentan que tú mismo reveles tu contraseña haciéndote creer que quien te la pide es de fiar, o que ejecutes un virus que va a dejar tu computadora más lenta que una tortuga con muletas diciéndote que lo que contiene el archivo es de tu interés.
Uno de los ejemplos más claros de ingeniería social son los virus que llegan por correo electrónico. Normalmente, el asunto del mail que nos llega hace referencia a algo que suele ser de interés general o, al menos, bastante extendido. Junto con el correo, nos viene un archivo que se supone hace referencia al asunto y entonces es cuando picamos: nos descargamos el archivo, lo abrimos y ¡ta-ta-tachín! contagiados vete tú a saber por que cosa. En otras ocasiones, se nos incluye un enlace a un sitio web y al entrar en él se produce la descarga del virus o cualquier otro tipo de malware.
La ingeniería social también se aplica para realizar phishing: hacerse pasar por una persona o por una empresa de confianza para obtener los datos sensibles del usuario (como las contraseñas). El phishing es realizado en ocasiones de manera muy elaborada, enviando enlaces a sitios que se parecen a aquellos con los que mantenemos relación de algún tipo pero que en realidad no son quienes dicen ser.
No se necesitan grandes medios informáticos para robar información. En muchas ocasiones, somos nosotros mismos quienes la proporcionamos sin darnos cuenta. Esta tira de Vergara es un ejemplo muy claro de a lo que me refiero:
El usuario siempre es el eslabón más débil en una cadena de seguridad informática, por lo tanto siempre es el primero que es atacado. Algunos consejos para evitar los efectos de un ataque efectuado mediante ingeniería social son:
- No confíes en los desconocidos: sí, sí, lo que te decían papá y mamá es más cierto que nunca en Internet. Si bien hoy en día, cuando las relaciones sociales se amplían por medio de la red, puede parecer que esto es muy difícil de llevar a cabo sin quedarse aislado de las diversas comunidades de usuarios, piensa que ahora la palabra “desconocido” ha entrado en una redefinición. Todos somos extraños para todos en un principio, pero siempre tenemos alguna referencia que nos diga algo acerca de una persona: un conocido que nos habló de él, un blog, comentarios en foros, participaciones en listas de correo, etc. Un par de búsquedas en Google o Yahoo! te pueden ayudar a identificar al desconocido que se ha puesto en contacto contigo y saber si es de fiar.
- Cuidado con los datos que das y donde los das: mira la tira de más arriba y saca tus conclusiones. En general, cuanto más generalistas las preguntas y menos ajustadas a un tema en concreto, menos fiables suelen ser.
- Utiliza contraseñas largas pero fáciles de recordar: y que no estén relacionadas con tus datos personales u otros que difundas habitualmente. No, el nombre de tu mascota no es una buena contraseña. Mucho menos tu lugar y fecha de nacimiento. Tampoco tu libro favorito, ni tu actor, ni tu cantante.
- No abras o descargues archivos adjuntos de desconocidos: y mucho menos si el mensaje no está en tu idioma, diga lo que diga. Sin embargo, el peligro no viene del extranjero, ni mucho menos. Ten cuidado con todo lo que te envíe un absoluto desconocido del cual no tengas referencia alguna. Si alguien que no conoces te quiere enviar algo que no has pedido, por lógica te pedirá permiso primero. Si no lo hace, desconfía en más de un sentido.
- Ningún banco te va a pedir tu contraseña por correo electrónico: ninguno. Ni te va a pedir información personal para la actualización de su base de datos.
- Si se refiere a asuntos de dinero, fíjate en la dirección: la dirección de todos los sitios de bancos o de transacciones por Internet empieza por https:// y no por http://. Fíjate en la s, pues indica que estás en un sitio seguro.
- Sigue blogs o sitios que divulguen tretas de ingeniería social: como por ejemplo el laboratorio de Eset Latinoamérica o Rompecadenas, todo un clásico es este aspecto.