Suele ser un mecanismo frecuente para iniciar un ciberataque a mayor escala o un método fácil de acceder a un sistema sin tener que hacer complejos desarrollos de malware.

La ingeniería social se basa en los siguientes principios:

• Todos queremos ayudar: El ser humano siente la necesidad de apoyar el trabajo de otras personas.
• Somos confiados: El usuario rara vez cuestionará para qué fin es la información, suponiendo que éste es siempre uno lícito.
• No nos gusta decir no: Aunque se tenga desconfianza de la persona que nos solicita la información.
• Nos gusta ser halagados: Cuando se proporciona una información se recibe un estímulo positivo que no nos hace ser objetivos ante quien nos la está solicitando.

Se pueden distinguir 2 tipos de ingeniería social:

Por medio de la manipulación y explotación de los sentimientos y emociones.

Para este tipo de ingeniería social todos los medios son válidos: No olvide que los atacantes utilizarán todos los medios a su alcance para lograr engañarle.

Para ello no dudarán en suplantar la identidad de una persona de nuestro entorno (física o telefónicamente) que nos genere confianza o nos coaccione.

Un ejemplo sencillo sería aquella llamada que nos hacen en un momento inoportuno, haciéndose pasar por un administrador de la red y comunicando que hay un problema grave en nuestro ordenador y que para resolverlo necesita el usuario y contraseña de nuestro ordenador.

Aunque le parezca increíble, mucha gente pica el anzuelo.

El ataque más común es el llamado phishing en el que por medio de correos electrónicos o sitios web fraudulentos, el atacante intentará obtener información sensible, normalmente credenciales de acceso a sitios web como bancos, etc.

Para protegerse es necesario ser consciente de esta amenaza y seguir algunos consejos que le damos a continuación:

• Remitentes desconocidos o inesperados: ignórelos, verifíquelos por otros medios y nunca conteste al correo ni abra ningún archivo adjunto
• Sentido de urgencia que busca actuar de forma irreflexiva: desconfíe y nunca haga clic en ningún enlace (ni siquiera para darse de baja).
• Solicitud de información confidencial y/o personal, como números de cuenta, números de tarjetas de crédito, contraseñas, etc.: nunca revele información sensible.
• Direcciones de internet largas o extrañas, verifíquelas con un comprobador de direcciones cortas (p.ej. longURL).
• Faltas de ortografía, errores gramaticales, suelen ser síntoma de haberse traducido de manera automática de otro idioma. Cuidado con los entornos en otros idiomas, nunca interprete el contenido de un mensaje que no entiende.

Referencias del documento:
Articulo refundido y modificado por la Subdelegación de Defensa en Zaragoza.
Artículo publicado en el Boletín de Concienciación del Mando Conjunto de Ciberdefensa.