Nuevos medios, mismas intenciones: así se transforma la ingeniería social

En ciberseguridad escuchamos mucho sobre la ingeniería social, que no es más que una táctica que involucra una narrativa para aprovecharse de las personas, y sobre todo de características humanas como la curiosidad, la credulidad, la codicia, entre otras. En este artículo quiero compartir cómo ha evolucionado esta técnica que usan los ciberdelincuentes para obtener información privada de las víctimas, ya sea personal y/o financiera.

Para empezar, veamos los elementos que componen esta táctica. El primero se llama “medio”, y es lo que usa el ciberdelincuente para conectar con su víctima: un correo electrónico, una llamada, un mensaje de texto, redes sociales, etc. El segundo elemento es la “mentira”, una historia falsa diseñada para introducir a la víctima y generar una reacción rápida. Generalmente incluye un mensaje que invita a realizar alguna actividad con sentido de urgencia. El último elemento es la “petición”, que en pocas palabras es lo que se espera que haga la víctima: proporcionar credenciales (usuario/contraseña), ejecutar un archivo, enviar dinero, entre otros.

Puede parecer una táctica simple y hasta repetitiva. Sin embargo, lo preocupante es cómo está evolucionando y a lo que nos enfrentaremos en el corto y mediano plazo. Empecemos por el medio. Este ya no se limita a correos o llamadas: se están sumando nuevos dispositivos como relojes inteligentes, gafas inteligentes, o incluso equipos de realidad virtual.

Hoy en día confiamos mucho en estos dispositivos. Y si llegaran a ser comprometidos, sería muy fácil convencer a alguien de realizar una acción, usando mensajes relacionados con sus pasos diarios o la cantidad de agua que ha tomado. A esto se le suman los chatbots. Si son manipulados, podrían alterar respuestas o interacciones con personas de ciertos perfiles o privilegios corporativos, con el objetivo de activar acciones en beneficio del atacante.

Por otro lado, la mentira también ha evolucionado, y de forma aún más potente. Gracias a la inteligencia artificial, hoy es posible crear historias mucho más creíbles, actualizadas al contexto de cada país o región, e incluso con imágenes o videos que les dan un alto grado de realismo. Incluso podríamos ver situaciones en las que la inteligencia artificial interactúe con una víctima durante varios días, hasta ganarse su confianza.

Un ejemplo claro es el de las campañas divididas. A un grupo de personas se les predice que ganará cierto equipo de fútbol; a otro grupo, se les dice lo contrario. Luego del resultado, contactan solo a quienes recibieron la predicción acertada, y les hacen creer que pueden “predecir el futuro”, motivándolos a invertir. Ahí es cuando ya tienen la confianza de la víctima. Y ese es el verdadero peligro.

Nos enfrentamos a un futuro retador, donde la tecnología no solo está avanzando, sino que también lo están haciendo las formas en las que puede ser usada en nuestra contra. Por eso, es clave que las organizaciones adopten plataformas que les permitan anticiparse a estas situaciones. No basta con reaccionar: necesitamos estrategias de seguridad integral que protejan nuestra información y los activos más sensibles, que hoy son el blanco principal de estas tácticas de ingeniería social.