¿Qué es la ingeniería social inversa?

Vivimos una revolución tecnológica sin precedentes, con unos cambios acelerados en todos los órdenes de la vida. En el plano empresarial, las nuevas tecnologías afectan a los modos de producción, los modelos organizativos o al futuro del trabajo, con nuevas profesiones, entre otros muchos cambios. Pero este crecimiento exponencial en la digitalización también ha abierto la puerta a una serie de amenazas cibernéticas contra las pymes cada vez más sofisticadas. Una de ellas es la conocida como ingeniería social inversa. 

Las pymes ya están sufriendo una infinidad de ciberataques en forma de tácticas como el phishing, vishing, smishing y otras artimañas de ingeniería social. Estás técnicas, diseñadas para engañar y manipular a los individuos para obtener información confidencial, constituyen una amenaza para las pymes que van más allá de la pérdida de datos, ya que afectan a su estabilidad financiera y a su propia reputación. A esta ingeniería social se suma otra variante: la ingeniería social inversa, una vuelta de tuerca respecto a los engaños convencionales con la que las pymes deben estar prevenidas.

¿Qué es la ingeniería social? 

La ingeniería social es una técnica mediante la cual los ciberdelincuentes consiguen apropiarse de los datos privados, información confidencial para acceder a sistemas protegidos. En la ingeniería social convencional el atacante, mediante engaños -generalmente una suplantación de identidad-, se acerca a la víctima para que le proporcione la información privada que necesita para sus fines ilegítimos. 

Algunos ejemplos típicos de ingeniería social son el phising, vishing o el smishing.  

• Phishing: es una técnica por la que los atacantes suplantan a entidades de confianza como bancos, empresas o servicios online para convencer a las víctimas de que revelen información sensible. Los medios que emplean para engañar suelen ser correos electrónicos. 
• Vishing: también conocido como “timo de la doble llamada”, el vishing usa las llamadas telefónicas para sustraer información confidencial a sus víctimas. Aunque hay varias modalidades, por lo general, en la primera llamada se hacen pasar por una entidad confiable como una operadora telefónica que avisa de subida de precios y en la segunda se hacen pasar por otra operadora con mejores tarifas. 
• Smishing: esta estafa se lleva a cabo mediante mensajes de texto (SMS), multimedia (MMS) o a través de aplicaciones de mensajería. Su objetivo es engañar a las víctimas para que revelen información confidencial también a través de la suplantación de identidad. 

¿Qué es la ingeniería social inversa? 

La ingeniería social inversa supone un engaño más elaborado. En este caso, y al contrario que en la ingeniería social convencional, es la víctima la que se acerca al ciberdelincuente y le acaba dando la información privada de forma voluntaria. La ingeniería social inversa está más enfocada en la manipulación psicológica para conseguir su objetivo. 

Para lograr engañar a su víctima, el estafador busca convertirse en alguien confiable. Un ejemplo clásico es un falso técnico que aparece cuando la víctima tiene un problema. Sin embargo, el problema no es casual; ha sido originado por los ciberdelincuentes para ganarse después la confianza de la víctima presentándose como la solución. 

Los ataques de ingeniería social inversa están enfocados en la persona. Los timadores usan la manipulación emocional y la persuasión para aprovechar la confianza y la necesidad de sus víctimas. Es una técnica efectiva que permite a los delincuentes cibernéticos obtener acceso a información y sistemas protegidos. 

Fases de la ingeniería social inversa 

La ingeniería social inversa obliga a pymes y a todo tipo de organizaciones a mantener una mayor cautela. Un ataque sufrido por ciberdelincuentes puede ser la puerta de entrada de una agresión mayor donde se sustancia la estafa que acaba con sustracción de datos relevantes. Un ataque de ingeniería social inversa suele constar de las siguientes fases: 

• Sabotaje: el estafador ataca el equipo de la víctima. 
• Engaño: el ciberdelincuente, mediante una suplantación de identidad, se hace pasar por un técnico o agente que cuenta con la solución al problema que él mismo ha generado. 
• Asistencia: la víctima cree que el técnico es legítimo y reclama su ayuda. El atacante consigue la información confidencial que buscaba y que le proporciona su víctima de forma directa. 

Cómo protegerse de los ataques de ingeniería social inversa 

El ingenio y las técnicas de engaño de los ciberdelincuentes son cada vez más sofisticadas. La ingeniería social inversa, que juega con el factor humano, parece más difícil de combatir. Sin embargo, con una concienciación y formación adecuada de los empleados y con las mejores herramientas de ciberseguridad, es posible conjugar el peligro.  

• Formación de empleados: la formación y la concienciación de los empleados es una de las mejores vacunas para prevenir los ataques. Estar al tanto de las técnicas empleadas por los ciberdelincuentes ayudan a proteger la pyme. 
• Soporte técnico de confianza: tener un legítimo experto tecnológico que evite acudir a terceros cuando surja un problema evita muchos de los peligros de la ingeniería social inversa
• Proveedores confiables: siempre hay que trabajar con proveedores de confianza, especialmente si tiene que tener acceso a información sensible de la pyme. 
• Soluciones profesionales de seguridad: tener las mejores soluciones de seguridad para pymes y soluciones de protección y privacidad para los dispositivos reducirán al mínimo los riesgos. 
• Medidas de seguridad para los empleados: implementar una serie de medidas de seguridad sólidas para los empleados, como la prohibición de descargas de programas de fuentes desconocidas, autenticación de dos factores, bakckup, cifrado de datos, prohibición de compartir datos con terceros, etc.