Ingeniería social: las emociones, el factor humano de las estafas

Social engineering

En algún momento difícil de la vida, a alguien se le ha podido pasar por la cabeza el pensamiento inconfesable de hacerse pirata informático. Para resolver algunos problemas, arreglar algunos asuntos o comprarse la casa que tanto deseaba y para la que no le alcanzaba con el trabajo diario. En resumen, para mejorar su situación y luego volver al trabajo normal.

Lo malo es que ser pirata informático no es nada fácil, por no hablar de las explicaciones que habría que dar a nuestra conciencia y de las noches que nos pasaríamos en vela por miedo a ser descubiertos.

Hay que estar muy preparados, contar con muchas habilidades técnicas y conocer a fondo la psicología humana. Sobre todo si el filón elegido para hacer «negocios» es el digital. No en vano se ha empleado el término «ingeniería social» para definir los conocimientos que giran en torno a la manipulación de las víctimas.

Ingeniería social: psicología y técnica

De hecho, por ingeniería social se entiende el estudio del comportamiento de la gente con el fin de manipularla y engañarla aprovechándose de sus emociones. ¿El objetivo? Usar las debilidades humanas en beneficio propio para poder acceder a los datos y a la información protegida.

Se trata de una auténtica manipulación psicológica que actúa principalmente en algunas palancas como:

  • la sujeción a laautoridad;
  • la prueba social, es decir, la presión que ejercen los compañeros para fomentar un determinado comportamiento;
  • los sentimientos de simpatía y semejanza;
  • la necesidad de demostrar compromiso, reciprocidad y coherencia: a la gente le gusta, por ejemplo, devolver favores;
  • la prisa y la distracción;
  • la avaricia, que suele traducirse en incapacidad para resistirse a muy buenas ofertas,
  • la compasión y los buenos sentimientos.

Teniendo en cuenta que cada clase de ataque informático actúa sobre un tipo de debilidad humana, se puede afirmar que la ingeniería social pasa transversalmente por más o menos todas las formas de ciberataque y es el caldo de cultivo del que la delincuencia se nutre y en el que se propaga.

Todos los piratas informáticos pretenden desencadenar una respuesta emocional

Desde esos correos tan extendidos de «phishing», que se sirven de la procedencia engañosa de un correo aparentemente legítimo y fiable, hasta el «business e-mail compromise» (BEC), una técnica más sofisticadaque se aprovecha del deseo de agradar al jefe para solicitar algo; desde la estafa del formulario de contacto,que se vale de la ansiedad suscitada por la amenaza de una acción legal hasta el uso de todos los aspectos de la COVID (variantes, certificado COVID digital de la UE, etc.) para engañar a algún desdichado con las distintas emociones que esto genera.

La acción reactiva de la víctima siempre es garantía de éxito para el ciberdelincuente. Es decir, la respuesta inmediata e instintiva a cualquier provocación. Para cuando el buen juicio asome, si es que lo hace, será demasiado tarde.

De hecho, las respuestas emocionales son las más viscerales. El uso de la persuasión y de la manipulación emocional en las campañas de «phishing» se analizó en un estudio publicado por la American Psychological Society en 2018, en el que se examinó «la excitación emocional como táctica de fraude».

Según la investigación, las personas examinadas tomaron decisiones erróneas al responder a mensajes persuasivos tanto negativos como positivos porque la «excitación emocional puede influir en la susceptibilidad a la información engañosa». Y ese es precisamente el comportamiento que espera el estafador.

Por tanto, la peligrosidad de este tipo de riesgo reside precisamente en el factor humano. Hacer clic con esa inconsciente ligereza y velocidad puede ser fatal y enredar a la desdichada víctima en una maraña de problemas cuya resolución requerirá tiempo y dinero. En resumen, nada bueno.

¿Cómo podemos protegernos?

No hay ninguna técnica o «software» en particular que pueda protegernos de esta clase de ataques. La única solución es formarse de forma continuada y con información actualizada para concienciarse sobre la ciberseguridad. Hay que ser más conscientes de los riesgos cibernéticos para reconocer los engaños que manipulan las respuestas emocionales.

Por consiguiente, siempre hay que saber lo que se hace con el ordenador y las consecuencias que nuestras acciones pueden tener. Y nunca hay que dejar de aprender ni de practicar. Solo así se lo pondremos difícil al pirata informático de turno, que tendrá que buscarse una nueva víctima menos preparada que nosotros.

Más información sobre los itinerarios formativos de Cyber Guru