El uso de técnicas de ingeniería social en FB

De conformidad con el glosario de términos publicado en la web de la European Union Agency for Network and Information Security (ENISA) “la ingeniería social se refiere a todas las técnicas dirigidas a hablar con un objetivo para que revele información específica o realice una acción específica por razones ilegitimas”.⁹⁷ Se destaca que las técnicas de ingeniería social explotan las vulnerabilidades humanas, más que tecnológicas.

Las técnicas de ingeniería social pueden presentarse de diversas maneras, las más reconocidas son el phishing, el pharming y el uso de malware. La ingeniería social del phishing y el pharming permite que por medio del engaño los delincuentes dirijan a los usuarios a páginas de Internet parecidas a las oficiales pero que en realidad son falsas y una vez que son conducidos a estos espacios le son solicitados sus datos, sobre todo bancarios y financieros, para posteriormente tener acceso a estas cuentas y disponer de los recursos de las víctimas.

96 Badshah, Nadeem, “Facebook to contact 87 million users affected by data breach”, The Guardian, 8 de abril de 2018, disponible en https://www.theguardian.com/technology/2018/apr/08/facebook-to-contact-the- 87-million-users-affected-by-data-breach, consultado el 2 de noviembre de 2018.

97 Véase: European Union Agenc for Network and Information Security, “‘What is

“Social Engineering’?”, disponible en línea en https://www.enisa.europa.eu/topics/csirts-in-europe/glossary/what-is-social-

engineering, última fecha de consulta el 23 de diciembre de 2018.

54 Sin embargo, también existe la técnica de la sextorsión en la que los delincuentes se hacen pasar como posibles relaciones casuales y trabajan para que las personas les envíen fotografías o videos comprometedores para posteriormente chantajearlos y extorsionarlos. De la mano con este tipo de actividad se ha difundido la actividad de crear afinidad expandida, esta se trata de relacionarse con las posibles víctimas a través de sus intereses manifiestos como puede ser activismo social, acudir a conciertos, espectáculos, compartir la misma afición por algún deporte. Una vez que se logra tener los datos suficientes los delincuentes tienen facilidad de aproximarse a las víctimas, esta es una de las maneras más socorridas por los tratantes de personas.

Existen muchas otras técnicas de ingeniería social que se utilizan para captar a víctimas de trata como son: ofertar vacantes de empleo falsas, ofrecer viajes con grandes descuentos a lugares desconocidos, prometer cursos o capacitaciones que prometen cambiar vidas, entre muchos otros listados algunos a continuación.

Pretexting: es una variación de la ingeniería social, con la diferencia de que, para realizarla, el atacante debe tener un estudio previo de la información de la víctima potencial, para así, crear y utilizar un escenario favorable con el objetivo de persuadir a una víctima y obtener información. El atacante puede acoplarse a una víctima específica de manera que aumenta la posibilidad de conseguir información o que la víctima realice acciones específicas a su voluntad.

[…]

Shoulder surfing o espionaje por encima del hombro: es una técnica derivada de la observación, la particularidad que tiene es que el espionaje a los usuarios se realiza de cerca, para obtener información confidencial.

Sólo basta con permanecer observando sigilosamente por la espalda de la víctima las teclas que digita, el monitor o cualquier otro soporte de información que pueda ser de interés para obtener información. Esta técnica se utiliza comúnmente para obtener contraseñas, números PIN, códigos de seguridad y datos similares.

[…]

55 Dumpster diving: es una técnica que se centra en buscar información valiosa en la basura. Tirar cualquier tipo de documentos sin un debido proceso de destrucción es una práctica que puede resultar riesgosa, pues se pueden rescatar de la basura datos importantes contenidos en documentos desechados sin ser destruidos previamente.

Asalto al buzón de correo: es un delito centrado en el robo de la correspondencia que se encuentra en los buzones de correo sin seguro, de los cuales se pueden sustraer documentos con información valiosa (estados de cuenta bancarios o de tarjetas de crédito, o cualquier otro documento).⁹⁸

La suplantación de la identidad digital en Facebook permite que a través de la ingeniería social los usuarios sean manipulados y de esta manera puedan ser una víctima de la trata de personas.

Se recomienda evitar conectarse a las redes WiFi públicas porque son utilizadas muchas veces por los hackers ya que como su nombre lo indica, “Wifi gratis” es atractivo para cualquier usuario en apuros, ya sea que se le hayan acabado sus datos, o tenga una emergencia, encontrar una red abierta es un respiro para este mundo donde necesitamos estar conectados. Al ser de libre acceso hace a la red vulnerable ya que cualquiera puede tomar nuestros datos y hacer mal uso de ellos, así como también podrían llegar a instalar software espía en nuestro equipo portátil sin que nos demos cuenta del suceso.

Por ejemplo, supongamos que queremos enviar un mensaje a alguno de nuestros contactos a través de una red pública. Si el mensaje no va cifrado, un atacante puede leer ese mensaje, y modificarlo como quiera para que nuestro contacto reciba algo diferente como si fuera nuestro. Esto también se puede aplicar a nosotros, porque el atacante puede enviarnos una respuesta falsa de nuestro contacto para hacernos pensar que todo va bien.⁹⁹

98 Guía para prevenir el robo de identidad, op. cit., nota 56, p. 6.

99 Omicrono, “Cuales (sic) son los peligros reales de utilizar redes WiFi públicas y cómo prevenirlos” 14 de mayo de 2015, disponible en línea en

56 Si llegáramos a usar una red pública hay que evitar ingresar contraseñas, correos electrónicos, hacer transacciones bancarias, verificar que a la páginas en las que naveguemos tengan el HTTPS activado, y de ser posible utilizar una red privada virtual que sirve para proteger y cifrar nuestra conexión.¹⁰⁰ En todo caso hay que “mitigar los riesgos a través de una combinación de protección personal y conciencia sobre el uso de Internet”.¹⁰¹

Es necesario entender las nuevas modalidades de ingeniería social que son utilizadas para captar víctimas de ilícitos como puede ser el robo de información, la suplantación de la identidad y hasta la trata de personas y poder prevenirlo.

1.4 Selección de perfiles por parte de los delincuentes con fines