Qué es la ingeniería social y cómo protegemos a las empresas
En el ámbito del análisis de inteligencia tradicional, la ingeniería social es una disciplina relativa a la obtención de inteligencia que utiliza a las personas como fuente de información, también conocida como HUMINT (human intelligence). Adicionalmente, puede ser utilizada en procesos de contrainteligencia con el objetivo de generar confusión en los individuos o implantar ideas concretas sobre los mismos que más tarde puedan ser aprovechados de diversas formas y con motivos muy diversos. En el ámbito de la ciberseguridad, la ingeniería social se utiliza principalmente para obtener acceso a información privada de las organizaciones a través de los propios empleados.
Ahora bien, la evolución de las técnicas de ingeniería social está muy ligada a los avances tecnológicos. En un inicio, la ingeniería social se practicaba de manera presencial, siendo ésta la forma más compleja de obtención de información, ya que necesita de una gran capacidad de manipulación humana y conocimientos conductuales; posteriormente, con la llegada de las líneas telefónicas, la dificultad que generaba la necesidad de presencialidad se eliminó, permitiendo que desde cualquier parte del mundo y a través de una línea telefónica se pudieran llevar a cabo este tipo de operaciones (la ingeniería social a través de llamadas de teléfono se conoce como vishing); seguidamente y con la aparición de los mensajes de texto, la ingeniería social también ha sido posible a través de sms (smshing). En la actualidad, todas las *shing se engloban comúnmente dentro del concepto phishing. Así, la última novedad en esta área es el uso de la inteligencia artificial para llevar a cabo ingeniería social, mediante la cual se puede suplantar en tiempo real y videollamada la cara y voz de una persona.
En ese escenario, y dado que el objetivo de la ingeniería social son las personas y el éxito del intento de obtención de información depende de cada uno, la manera más óptima que tienen las empresas de resguardarse frente a este tipo de amenaza es a través de la formación continua en materia de seguridad por medio de charlas de concienciación interactivas y simulacros de ingenieria social dirigida sobre la compañía para medir la capacidad de enfrentar un suceso similar y el nivel de riesgo real.
Un componente clave en el éxito de una campaña de ingeniería social es el conocimiento previo que pueda tener un atacante sobre el objetivo, lo cual incluye no solo a la organización, sino también a sus trabajadores. Por tanto, es importante monitorizar y controlar de forma estricta la información disponible en fuentes abiertas (la rama de inteligencia que obtiene información de fuentes abiertas se llama OSINT – open source intelligence), con origen tanto en los sistemas externos de la propia empresa como por datos compartidos por los empleados en redes sociales.
