Las personas ajenas al mundo de la ciberseguridad suelen mirar con extrañeza cuando escuchan el término «ingeniería social». Imagino que no conciben que ambos conceptos estén juntos y sean veraces. Sin embargo, rápidamente lo integran, al darse cuenta de que es un área con la que han interactuado pero no conocían el nombre técnico.
Los ataques de Phishing en Chile han aumentado más de diecisiete (17) veces entre 2022 y 2023 según Kaspersky (1). Es preocupante que en los medios solo se haga alusión a correos electrónicos, mientras que otros formatos como el SMiShing, QRishing y Vishing quedan entre la neblina. A continuación, mi intención es plantear una reflexión sobre el título de este artículo principalmente a través del último ataque mencionado.
El Vishing o Phishing de voz es la práctica de obtener información o intentar influir para incitar a realizar una acción a través de una llamada. Es decir, obtener información valiosa para un objetivo específico.
En la teoría, la familia del Phishing funciona siempre del mismo modo: se presenta un pretexto que suele ser una urgencia, un peligro, una oportunidad, un beneficio o lo que la imaginación permita, para lograr su fin, y nadie está libre de su efectividad.
En 1967, Marshall McLuhan y Quentin Fiore publicaban The Medium is the Massage (2) (El medio es el masaje) que tuvo un impacto profundo a nivel mundial. El libro sostiene que el medio, más que el contenido del mensaje, altera la percepción y la forma en que la sociedad piensa y actúa. En su escrito, McLuhan y Fiore se referían principalmente a los grandes medios de comunicación, pero yendo más lejos en esta reflexión, y desde mi experiencia al realizar pruebas de ingeniería social, puedo asegurar que también ocurre a nivel individual. No se reacciona igual ante un correo electrónico y ante a una carta escrita a mano, ni ante un mensaje de texto y a un mensaje directo en Instagram, ni tampoco a una llamada por WhatsApp versus una llamada tradicional, porque el medio ya es un dato.
Un desafío enorme es que todas son herramientas de contacto para cada usuario; sin embargo, la recepción de este es muy distinta en cada medio.
- El correo es para leer con calma, el mensaje no se moverá de allí.
- El SMS tiene límite de caracteres, es para leerlo rápidamente.
- El mensaje directo en una red social es para contactar personalmente a un usuario (cercanía).
- La llamada telefónica es para solicitudes que requieren ser explicadas por voz (complejidad o urgencia, ya que, a diferencia de los otros medios, este se atiende en el presente).
Si bien lo presentado es un análisis vago, los ejemplos ilustran perfectamente la efectividad del medio por el cual se contacta a una persona. Si en este punto asumimos que el medio es ya un dato que puede hacer efectivo un ataque, me pregunto: ¿Cuántos datos tiene que darme un adversario para ganar mi confianza? Con esta pregunta quiero resaltar, que con el mensaje indicado por el medio indicado cualquiera puede ser víctima.
¿Realmente cuántos datos debe utilizar un atacante para ganarse la confianza de una persona? Sería realmente útil tener una certeza exacta; sin embargo, sabemos que la frecuencia y efectividad de estos ataques son una señal clara de que no se necesita entregar demasiada información para convertirse en víctima, y su continuidad es ya un indicador importante.
Es necesario reflexionar sobre lo vulnerable que somos frente a la ingeniería social y tomar medidas para cuidarnos de estos ataques que, como hemos observado, solo van en aumento.
Espero que este artículo haya sido de utilidad para reflexionar sobre la seguridad de nuestra información y sea también una motivación para tomar acción. Para eso, les dejo unas recomendaciones:
- Utilizar siempre verificación en dos pasos o múltiple factor de autenticación. ¡A configurarlos cuanto antes!
- Sospechar de mensajes que presenten urgencia y siempre validar la información por otros medios. Ante la duda, mejor prevenir.
- Acceder a sitios digitándolos directo desde el navegador, y verificar siempre que sean los originales. Siempre verificar.
Sigamos creciendo y aprendiendo para hacer del mundo digital un lugar más seguro. Hagamos de la ciberseguridad un hábito.
(1)"Phishing: La amenaza a la ciberseguridad que más ha aumentado en Chile." La Tercera, 25 agosto 2023, www.latercera.com/piensa-digital/noticia/phishing-la-amenaza-a-la-ciberseguridad-que-mas-ha-aumentado-a-chile/DXTKMP4GKBFFRN7YO33DGUZ474/
(2) McLuhan, Marshall, and Quentin Fiore. El medio es el masaje. Random House, 1967.
