¿Qué es ingeniería social?

Un ordenador puede tener instalado un excelente cortafuegos, un sistema antivirus de última generación e incluso un mecanismo de cifrado de datos de alto nivel, pero si no se protege uno de los elementos claves del sistema la seguridad no está garantizada. Ese elemento es el usuario, y la ingeniería social es la práctica de obtener información confidencial a través de los usuarios legítimos de un sistema.

Kevin Mitnick que se define a si mismo como un hacker sin malas intenciones y es uno de los ingenieros sociales más famosos de los últimos tiempos, dice que la ingeniería social se basa en estos cuatro principios:

• Todos queremos ayudar.
• El primer movimiento es siempre de confianza hacia el otro.
• No nos gusta decir no.
• A todos nos gusta que nos alaben.

Una vez planteados esos principios en los que se basa la ingeniería social, es necesario ver con detalle en qué consisten esas técnicas de manipulación. Con unos cuantos ejemplos reales de este tipo de ataques es fácil identificar sus características principales:

• ¿Si una web le ofreciera acceder al historial de conversaciones de todos tus contactos de MSN de forma sencilla, introduciría tus datos de acceso a Microsoft Messenger?
• ¿Si su banco le indicara que tiene que confirmar un ingreso en su cuenta de una cantidad de dinero, seguiría sus instrucciones para hacerlo?
• ¿Si recibiera una llamada telefónica de su compañía telefónica para confirmar sus datos bancarios y evitar la baja de su línea se los proporcionaría?
• ¿Si le solicitaran pagar una pequeña cantidad de dinero para realizar los trámites para cobrar un premio de lotería de un país extranjero, lo haría?

Todos los ejemplos anteriores son reales y seguro que en alguna ocasión ha recibido un mensaje de correo electrónico o una llamada parecida a los que se indican en ellos. En todos los casos se sigue una misma pauta: la posibilidad de alcanzar algo deseable (acceso a datos confidenciales, conseguir dinero, evitar la desconexión del teléfono, etc.) mediante un mecanismo sencillo(acceder a una web, indicar un número de cuenta, etc.) y originado por lo general en una fuente de confianza (nuestro banco o compañía telefónica)