No siempre se necesita un virus para caer en manos de un cibercriminal. A veces, basta con un mensaje convincente, una llamada sospechosa o un simple clic. En este artículo, Belén Borregueros, alumni del Máster Profesional de Analista Internacional de LISA Institute, analiza la verdadera amenaza: las técnicas de ingeniería social y cómo manipulan nuestra mente.
Cada día nos acercamos más a una era completamente digital. En ella, nuestros datos son más accesibles que nunca, no solo para nosotros, sino también para terceros. Con frecuencia, se nos enseña cómo compartir y difundir nuestra información, pero no se enfatiza en su seguridad y protección. Esta falta de conciencia y educación digital deja a muchos usuarios vulnerables a ciberataques y tácticas de manipulación, como la ingeniería social y el phishing.
¿Qué es la ingeniería social?
La ingeniería social son las técnicas de manipulación utilizadas para obtener información confidencial de una persona, como contraseñas, datos bancarios o acceso a dispositivos específicos. El objetivo es, generalmente, instalar un software malicioso, robar dinero, traficar con datos, entre otros. En resumen, la finalidad principal del ciberdelincuente es obtener datos sensibles de sus víctimas, explotando las vulnerabilidades humanas más que las técnicas.
➡️ Te puede interesar: 🎧 Código LISA – Los mayores ciberataques en la historia de la Ciberseguridad
- Aprovecharse de emociones: como la curiosidad, el miedo o la urgencia, lo que lleva a las personas a actuar de forma impulsiva sin reflexionar su situación.
- Métodos de manipulación: el engaño, la persuasión, la influencia y la confianza. El atacante puede hacerse pasar por alguien familiar o de autoridad para crear una sensación de credibilidad y urgencia.
- Falta de concienciación en ciberseguridad: las víctimas a menudo permiten, sin saberlo, infecciones de malware o conceden acceso a sistemas que no deberían. Esto ocurre debido a su falta de conciencia o conocimiento en ciberseguridad, y a la ausencia de medios para proteger su información.
Algunos de los tipos más empleados son:
| Phishing | Vishing |
| Smishing | Tailgaiting |
| Spear-Phishing | Baiting |
| Water Hole | Scareware |
➡️ Te puede interesar: Tácticas de ingeniería social: cómo los atacantes explotan las debilidades humanas
Por ende, la ingeniería social se focaliza en comprender cómo piensan y reaccionan las personas. De esta manera, los cibercriminales se aprovechan de los sesgos cognitivos. También explotan las vulnerabilidades psicológicas de los usuarios, con el fin de obtener sus datos.
¿Qué son los sesgos cognitivos?
Los sesgos cognitivos son atajos sistemáticos, en la interpretación de la información, afectando el cómo procesamos pensamientos, emitimos juicios y tomamos decisiones. Dicho concepto fue introducido por los psicólogos Kahneman y Tversky en 1972. Ellos indicaron que estos atajos mentales permiten al cerebro procesar información de manera más rápida y eficiente. Sin embargo, también pueden llevar a errores en el juicio y la toma de decisiones.
Estos sesgos pueden ser influenciados por diversos factores como la cultura, la influencia social, las emociones y las distorsiones en la memoria. Todo esto influye en nuestra percepción del mundo y en nuestra capacidad de tomar decisiones objetivas.
Los hackers explotan este dominio para manipular a las personas y obtener su información. Un ejemplo común es el sesgo de confirmación, donde las personas buscan información que respalde sus creencias previas y desestiman evidencia que las contradice. Este tipo facilita la manipulación, ya que los atacantes pueden presentar información que refuerce las creencias del usuario, haciendo que este confíe en el criminal sin cuestionarlo.
➡️ Te puede interesar: Época negra de ciberataques: guía para protegerse ante los intentos de estafa
Otro ejemplo típico podría ser el sesgo de autoridad, el cibercriminal adopta la identidad de figuras de autoridad, como un representante bancario, un funcionario gubernamental o un CEO, con el fin de otorgar credibilidad. Al presentarse bajo estos roles, busca explotar el respeto y la confianza que las personas suelen otorgar a dichas autoridades. El medio más habitual es enviar un correo electrónico o una llamada telefónica con tono oficial, con el fin de que de las víctimas sean más propensas a ceder ante la solicitud del atacante, influenciadas por el temor o el respeto hacia esa figura.
De esta forma, los sesgos cognitivos son herramientas clave que los cibercriminales utilizan para influir en el comportamiento de las personas y conseguir sus objetivos.
Phishing: el ataque por excelencia de los cibercriminales
Los ataques de phishing son una de las técnicas más comunes de ciberdelito, ya que a día de hoy siguen siendo efectivos debido a su capacidad para explotar las vulnerabilidades humanas, a pesar de los avances en la tecnología y programas de ciberseguridad. Estos ataques se centran en la manipulación psicológica, utilizando los diversos sesgos cognitivos que las personas emplean en su toma de decisiones.
A su vez, los ciberdelincuentes se aprovechan de esta técnica para engañar a las víctimas, provocando que divulguen información confidencial, como contraseñas o datos financieros, a través de correos electrónicos, mensajes de texto o sitios web fraudulentos. Por esta razón, aunque la tecnología ha mejorado, el phishing continúa siendo una amenaza persistente gracias a su enfoque en las debilidades cognitivas humanas.
La clave para combatir este tipo de fraude radica en comprender la psicología detrás de los ataques de phishing. Los cibercriminales diseñan estos fraudes basándose en principios psicológicos, como la urgencia, la autoridad y el reconocimiento, para manipular a las víctimas y que estas tomen decisiones impulsivas. Con el aumento de la educación sobre los ataques de phishing y cómo identificarlos, las personas y organizaciones pueden fortalecer sus defensas. De ahí la relevancia en la educación y entendimiento en ciberseguridad, para poder así comprender cómo estos ataques emplean los sesgos cognitivos y poder prevenirlos, creando estrategias de defensa más efectivas contra las amenazas cibernéticas.
➡️ Si quieres adquirir conocimientos sobre Ciberseguridad, te recomendamos los siguientes cursos formativos:
