El arte del engaño: del cuento del tío a la ingeniería social

Hace unos meses, Marianela* recibió una llamada a través de WhatsApp desde un número identificado con el logo de la aplicación CuidAR. Del otro lado de la línea, alguien que se identificó como personal del Ministerio de Salud le ofreció un turno para aplicarse la quinta dosis de la vacuna contra el Covid. Marianela aceptó y a continuación, el supuesto funcionario le informó que para validar el trámite, tendría que proporcionarle un código de seis dígitos que recibiría por SMS en su celular. Inocentemente, Marianela compartió los números recibidos y casi de inmediato perdió el acceso a su cuenta de WhatsApp, ahora en mano de un grupo de delincuentes que se hará pasar por ella para pedir dinero a sus contactos.

Tiempo atrás, entró en la casilla de mail de Daniel* un correo electrónico de la entidad emisora de su tarjeta de crédito, en el que le alertaban de que se había detectado actividad inusual en su cuenta. Como medida de seguridad su tarjeta se encontraba desactivada, por lo que para poder seguir utilizándola, debía hacer click en un enlace proporcionado en el correo para confirmar su identidad. Sin dudar de la veracidad del mail, Daniel siguió las instrucciones e ingresó inadvertidamente a una página que imitaba fielmente a la de su institución bancaria. Allí completó un formulario con sus datos personales y los de su tarjeta de crédito, sin saber que su información estaba siendo recolectada por una organización dedicada al fraude bancario.

El año pasado, Olga* recibió un llamado telefónico de una mujer que decía ser secretaria de un Banco. Le informó que en la sucursal se encontraba su hija, quien enviaría un cadete a su casa a recoger los viejos dólares de cara chica que tenía atesorados, ya que el billete había cambiado el diseño y los que tenía en su poder eran viejos y no tenían valor. Pocos minutos después, un joven vestido de traje tocó el timbre en su casa, presentándose como personal bancario. Olga, confiada, le entregó los ahorros de toda su vida, casi veinte mil dólares, que no volvió a ver nunca más.

Probablemente hayas escuchado historias como las de Marianela, Daniel y Olga más de una vez; relatos que semana tras semana se repiten en todo el país pese a tener una amplia difusión en los medios. Ellos, al igual que muchos otros, fueron víctimas de un tipo de ataque basado en el engaño conocido como ingeniería social.

Premios y regalos, uno de los métodos de los estafadores para atrapar incautos

“Podemos definir a los ataques de ingeniería social como una serie de mecanismos donde a través de técnicas no necesariamente informáticas, un atacante induce a una persona a que realice alguna actividad que no haría por sus propios medios”, explica Roberto Rubiano, ingeniero informático especialista en ciberseguridad. “Generalmente estos ataques buscan que la persona entregue información para que después se pueda concretar un robo de algún bien personal, material, o simplemente de una cuenta bancaria. Para hacer una comparativa con un término mucho más coloquial y costumbrista, estos son los mismos ataques que en Argentina conocíamos como «los cuentos del tío»”, precisa Rubiano.

El «cuento del tío» era una estafa muy común en Argentina, Chile y Uruguay a comienzos del siglo XX. Para realizarla, el estafador pasaba algunos días en un café, contando que había recibido una millonaria herencia de un tío lejano, pero que no tenía dinero para pagar el pasaje. Con esta historia, convencía a algún parroquiano a que le pague el traslado, el alojamiento y en algunos casos hasta los gastos de abogados, a cambio de cederle parte de la herencia. Una vez conseguido el dinero, el estafador desaparecía para siempre con el dinero.

Este tipo de fraude y sus variantes llegó a ser tan común, que en 1913 el gobierno de Italia publicó El Manual del Inmigrante Italiano, donde advertía y aconsejaba a los ciudadanos que emigraban hacia la Argentina que no se dejen seducir por este tipo de historias que, prometiendo grandes ganancias, se aprovechaban de la inocencia y la ambición de las desprevenidas víctimas.

Burdo intento de phishing que apela a la urgencia

“Si bien hoy se conocen con el término de ingeniería social, en realidad son la evolución de las clásicas estafas tan arraigadas a la costumbre de nuestro país”, cuenta Rubiano. Para el profesional en seguridad de la información “el hecho de aplicar alguna de las tantas estrategias conocidas permiten encuadrarlo dentro de esta categoría de ingeniería social, pero no son nada nuevos, son simplemente un aggiornamiento de los criminales a las técnicas modernas y al uso de nuevas tecnologías como redes sociales, mensajes de de texto, mailing, páginas web o cualquier otra otra herramienta moderna”.

Este tipo de ataques están basados en la manipulación psicológica y la persuasión, buscando que las víctimas transgredan los procedimientos de seguridad habituales y accedan al planteo del estafador. Suelen resultar muy eficaces porque “generalmente se apuntan a algún sentimiento relacionado con alguna urgencia, quizás relacionada con un familiar o con o con la posibilidad de recibir un premio”, explica Rubiano. “Pero en todos los casos se apela a tratar de de usar el sentimentalismo de de una persona y obligarlo a que tome una acción inmediata sin que la piense mucho, sin que se ponga a razonar”, aclara.

“Por eso es que aún con las advertencias, aún con con todo lo que uno conoce y va escuchando que le pasa a algún conocido, o incluso dentro del ámbito mismo de los que nos dedicamos a la ciberseguridad, más de uno termina cayendo justamente porque a pesar de todo seguimos haciendo humanos. Y en algunos casos las estrategias están tan bien pensadas que uno sin darse cuenta termina siendo siendo víctima de este tipo de ataques”, describe Rubiano, quien también se desempeña como docente en la Tecnicatura Universitaria en Ciberseguridad que se dicta en la Universidad del Gran Rosario.

Ya en 1913 el gobierno italiano advertía a los emigrantes sobre las estafa en Argentina

Existe una gran variedad de técnicas y ataques de ingeniería social, pero entre las más extendidas se encuentran las siguientes:

Phishing: Es un tipo de ataque informático que consiste en el envío de mensajes falsos por correo electrónico u otros medios digitales simulando ser de una entidad legítima, como bancos, empresas o servicios online populares. Suelen solicitar datos personales o financieros, o enlaces que dirigen a la víctima a sitios web falsos que imitan el diseño de los sitios legítimos con el objetivo de obtener acceso a cuentas, cometer fraude financiero o el robo de identidad.

Vishing: Es similar al phishing, pero se realiza a través de llamadas telefónicas en las que el atacante se hace pasar por un representante de una empresa o institución y trata de convencer a la víctima para que revele información sensible o realice alguna acción, como entregar o transferir dinero.

Smishing: Es una variante del phishing que busca engañar a la víctima a través del uso de mensajes de texto (SMS) o WhatsApp. Estos mensajes suelen contener un enlace o un número telefónico al que se debe llamar para acceder a algún beneficio o resolver algún problema planteado por los atacantes..

Baiting: Este tipo de ataque apela a la curiosidad natural del ser humano. El perpetrador deja un dispositivo infectado con malware (como un pendrive USB) en un lugar público y espera a que alguien lo conecte a su computadora para obtener acceso remoto o robar sus credenciales.

Tailgating: Consiste en aprovecharse de la amabilidad o la distracción de las personas para acceder a lugares restringidos. El atacante sigue de cerca a alguien que tiene autorización para entrar y pasa inadvertidamente como si fuera parte del grupo. Una vez dentro, puede robar información, instalar malware, dispositivos de escucha o realizar actos de sabotaje.

Pretexting: Esta técnica de ingeniería social consiste en crear una historia falsa o un pretexto para engañar a la víctima y obtener acceso a información o bienes que normalmente no entregaría. Previamente, los atacantes suelen recopilar información de la víctima para que el argumento resulte más convincente.

Whaling: También conocido como “el fraude del CEO”,aquí el atacante se hace pasar por un directivo o una autoridad y solicita a miembros de la empresa que realice alguna acción, autorice alguna operación, realice transferencias o revele información crítica.

“Hay tantas variantes y tantos tantos tipos de de ataques encuadrados ingeniería social que casi que están limitados por la creatividad y la imaginación que tengan hoy en día los atacantes”, destaca el experto en protección de datos.

“Está la clásica Estafa Nigeriana, que antes llegaba por correo tradicional y hoy lo hace a través de mails, donde se supone que uno tiene una herencia en un país que habitualmente era Nigeria y que para acceder a un monto muy grande solamente tiene que pagar una gestión o algún tipo de trámite que termina siendo lo que lo que el estafador recauda. Están los SMS relacionados con haber ganado un sorteo o un plan automotor. O la variante que uno menos espera, pero que esté asociada a un evento de moda o actualidad, como conseguir entradas para un recital muy exclusivo. Es decir, hay tantos ataques que solamente están limitados por lo que el estafador pueda llegar a imaginar o a concebir en ese momento”, advierte Rubiano.

No existe una fórmula exacta para evitar caer víctima de alguno de estos fraudes, aunque “la mejor prevención es apelar al sentido común antes de hacer clic, pensar un poco antes de actuar con la cabeza caliente”, aconseja con sensatez el informático. “Si de repente me contacta una persona de la que hace un montón de tiempo no sabía nada y me escribe para pedir plata, bueno, ahí hay algo raro. Si recibo un mail de un banco con el cual casi no opero, o de una entidad que me ofrece algún tipo de regalo o una recompensa inusual, ahí tengo que desconfiar”.

Para el especialista, además de mantener la cautela, es crucial verificar la legitimidad de la información. "Siempre debo asegurarme de que el remitente y el contenido del mensaje, especialmente si apela a que realice alguna acción, sean genuinos. Para eso utilizo las técnicas que tenga disponible. Por ejemplo, si un familiar cercano me pide dinero, antes de transferirle, lo llamo, lo visito en persona o, si no tengo una forma directa de comunicarme, contacto a otra persona que lo haya visto para asegurarme de su identidad. En ningún momento debo actuar sin asegurarme de que lo que me dicen sea realmente cierto. Si el banco me llama diciendo que debo hacer una transferencia inmediata o cerrarán mi cuenta, lo mínimo que hago es cortar la llamada y llamar de vuelta, o contactar a mi ejecutivo de cuentas, o incluso ir personalmente al banco para verificar mi estado real. Pero nunca realizar ninguna acción sin antes asegurarme".

Fraudes y estafas, noticias habituales en Rosario3

Sin embargo, incluso los más astutos y preparados pueden cometer errores. Si nos convertimos en víctimas de alguno de estos engaños, lo importante es no desesperarnos y evitar que el pánico nos paralice. Afortunadamente “hoy tenemos un montón de organismos públicos que se dedican a la lucha y a la prevención de este tipo de delitos”, recuerda Rubiano. “Tenemos una ley de delitos informáticos vigente sobre la cual se sustenta todo el resto del marco normativo. En Santa Fe tenemos al Ministerio Público de la Acusación, que tiene una página con un formulario web que toma la las denuncias. A nivel nacional tenemos una División de Delitos Tecnológicos que también permite realizar denuncias online que después siguen un circuito dependiendo la jurisdicción y el tipo de información implicada”, resalta el profesional de ciberseguridad.

En todos los casos, siempre es recomendable hacer la denuncia. “Hoy el gran problema que tenemos es que no tenemos información fehaciente de cuántos de estos tipos de casos realmente se dan en el país, justamente porque la mayoría no se denuncian y no hay forma de poder llevar un registro. La gente prefiere asumir la pérdida y pasar a otra cosa, y de esa forma se vuelve muy difícil poder planear una estrategia o poder prevenirlos”, recalca.

En un mundo cada vez más conectado, la ingeniería social se ha convertido en una amenaza permanente para nuestra seguridad y privacidad. Si bien es fundamental mantener elevado el nivel de alerta, aprendiendo a reconocer señales de alarma y adoptando medidas preventivas, es importante evitar caer en la paranoia. La confianza y la interacción social son elementos de nuestra vida que definen nuestra humanidad, por lo que no podemos permitirnos que el miedo a convertirnos en víctimas nos haga sospechar de cada persona que encontremos. La clave es encontrar un equilibrio entre la precaución y la confianza.

*Nombres ficcionados basados en historias reales

El arte del engaño: del cuento del tío a la ingeniería social

Información General

El arte del engaño: del cuento del tío a la ingeniería social

La ingeniería social se ha vuelto una amenaza constante para nuestra seguridad y privacidad. Fraudes, estafas y engaños se multiplican a través de correos electrónicos, mensajes de WhatsApp y llamadas telefónicas. Cómo evitar convertirnos en víctimas y qué hacer para protegernos

Tecnología

Las redes sociales se llenaron de memes y reacciones después de la "paliza" de la Scaloneta ante Brasil

Lula Da Silva se pronunció sobre el resultado del clásico sudamericano: ¿qué dijo?

Adolescencia en dos videos: la audición del actor Owen Cooper y su reacción al verse en la serie de Netflix

Vandalizaron un negocio del centro de Rosario para intentar robar

Por qué no hay que perderse la muestra "Berni Infinito" en Rosario

Juan Monteverde

Maximiliano Pullaro

Luciana Salazar

Marcelo Lewandowski

Camila Homs

Buscan frenar la proliferación de alquileres de viviendas para fiestas clandestinas con multas de hasta 6 millones de pesos

Madera transparente hecha con arroz y claras de huevo: ¿el futuro de las ventanas?

La Nasa completó el apilamiento de la etapa central del sistema de lanzamiento para la misión lunar Artemis 2

El clima en Rosario: jueves muy húmedo y con alerta amarilla por tormentas

Recepción de residuos informáticos: este fin de semana tendrá lugar la tercera jornada del año

Trabajadores de peajes se movilizan en el puente a Victoria: hay 500 puestos en riesgo por el fin de la concesión

Arroyo Ludueña: realizarán un “mapatón” colaborativo con detalles topográficos

Perritos desnutridos: hubo operativo de la Brigada de Rescate Animal y serán atendidos

Provincia comenzó a construir "El Infierno": cómo será la cárcel para presos de alto perfil

Se vienen las elecciones: ¿cuándo se vota, es obligatorio y qué deben hacer las autoridades de mesa designadas?

Volvió la tensión al Congreso: las fuerzas de seguridad arrojaron gas lacrimógeno a los jubilados

La amenaza de tormentas fuertes se corrió al oeste de la provincia

El intendente de Río Gallegos, tras la destrucción del monumento de Osvaldo Bayer: "Es de mucha pobreza intelectual"

Elecciones 2025: el Tribunal Electoral tiene habilitado el Registro Público de Postulantes de Autoridades de Mesa

El presidente de YPF destacó la repercusión internacional del presidente: "Las camisetas de Messi no venden gas, Milei sí"

La Libertad Avanza lanzó una iniciativa para calcular el costo legislativo en la provincia de Santa Fe

Mediodía accidentado en Rosario: choques en el centro, un nene herido y demoras en el tránsito

Pullaro en la presentación de las Taser: "La seguridad es la única política pública que no tiene límite presupuestario en Santa Fe"

Perritos desnutridos en la puerta de una casa de zona sur: “No tienen ni fuerza para ladrar; están raquíticos”

Lula Da Silva se pronunció sobre el resultado del clásico sudamericano: ¿qué dijo?