Kevin Mitnick, ingeniero social, dice que la ingeniería social se basa en 4 principios: Todos queremos ayudar; el primer movimiento es siempre de confianza hacia el otro; no nos gusta decir No; a todos nos gusta que nos alaben. Se usa para obtener información confidencial, acceso o permiso, manipulando usuarios y causar daño a persona u organismos. El principio que sustenta es, en cualquier sistema, los usuarios son el «eslabón débil».
Se busca crear un escenario que lleve a la víctima a revelar información personal o actuar de forma no común en circunstancia normal. Una mentira elaborada implica investigar la víctima para obtener información y llevar a cabo la suplantación (fecha de nacimiento, número de Seguridad Social, datos bancarios, etc.) y hacerle creer que es legítimo. Se suplanta compañeros de trabajo, policía, banco, autoridad fiscal o cualquier persona. El “pretexter” prepara respuestas a preguntas que puede plantear la víctima. Todo lo que necesita es una voz que inspire autoridad, tono serio y capacidad de improvisar para crear un escenario pretextual.
Juega a su favor la creciente tendencia por usuarios, en especial jóvenes, de colocar información personal, sensible; imágenes de su familia, lugares que frecuentan, gustos personales y relaciones amorosas. Las redes informan a un delincuente para que realice un ataque o robe la identidad. El ataque simple es engañar a un usuario llevándolo a pensar que un administrador del sistema solicita contraseña para propósito legítimo. El usuario recibe mensajes que piden contraseña o información de tarjeta de crédito para crear una cuenta, reactivar configuración u otra operación. Este ataque es phishing (fishing, pesca) Otro, usar archivo adjunto en correo electrónico, ofreciendo fotos íntimas o programa gratis por una persona conocida, que ejecuta código malicioso. Otro, conocer a la víctima, a través de introducción de contraseñas habituales, lógicas típicas o conociendo su pasado y presente: ¿Qué contraseña introduciría yo si fuese la víctima?
Vishing. Realizar llamadas telefónicas encubiertas bajo encuestas con las que se saca información personal sin que la víctima sospeche. Por ello no hay que dar información personal, aunque se trate de la compañía de móvil, electricidad o agua, pues podría ser un hacker. Baiting: Usa dispositivo de almacenamiento extraíble (CD, DVD, USB) infectado con software malicioso. Se deja en un lugar fácil de encontrar (ascensores, baños públicos, aceras, etc.) Cuando la víctima encuentre dicho dispositivo y lo introduzca en su ordenador, el software se instalará y permitirá que el hacker obtenga los datos personales del usuario.
Quid pro quo (algo por algo) El atacante llama aleatoriamente a una empresa y dice ser de soporte técnico. Esta persona informará a alguien de un problema legítimo y se ofrecerá a ayudarle, durante el proceso obtendrá datos de acceso y lanzará un programa maligno. En encuestas de seguridad de la información desde 2003, el 90% de los trabajadores de una oficina dieron a los atacantes lo que ellos afirmaban ser su contraseña en respuesta a preguntas de la encuesta a cambio de una pluma. Estudios en años posteriores obtienen resultados similares con chocolates y otros señuelos baratos.
Finaliza 2020 con una lección. Somos finitos, vulnerables, sujetos a la oportunidad de perder la vida. COVID-19 es una más, de una larga lista de motivos que nos obligan a cuidar lo más valioso que tenemos; la salud, la familia, los amigos para disfrutar el tiempo que se nos corresponda. Sean felices, independientemente de si acaba e inicia un año, medida de tiempo creada por el ser humano a diferencia de la vida.