Para lograr sus objetivos nada santos y sacar provecho de los cibernautas incautos, los hackers o piratas de la informática suelen emplear técnicas de manipulación psicológica y muchas veces son sutiles y pasan desapercibidas.

 

Estos ciberdelincuentes ponen en práctica algo que en ciencias sociales se denomina «ingeniería social», que no son otra cosa que herramientas empleadas por ciertos gobiernos y clases de poder sobre la sociedad para intentar cambiarla e influir en sus acciones.

 

Sin embargo, en el tema que abordamos aquí, relacionado a la seguridad informática, la expresión alude a las técnicas de manipulación psicológica que usan los ciberdelincuentes para tenderles trampas a los internautas.

 

En pocas palabras, la «ingeniería social» es el arte del engaño y sus objetivos pueden ser diversos, desde obtener información hasta realizar fraudes o acceder de manera ilegítima a ciertos documentos.

 

Métodos y herramientas para confundir al usuario

 

 

Principio de simpatía

 

A través de la observación de los movimientos que hace cuando navega por la red o de la información que hay publicada sobre usted, los estafadores pueden recopilar muchos datos, desde su dirección de correo electrónico hasta su número de teléfono, el nombre de su mascota o su lugar de residencia.

 

Conseguir datos puede ser más sencillo de lo que muchos piensan. La manipulación viene después: los hackers usan esa información para hacerse pasar por una persona de su confianza y tenderle trampas.

 

«El principio de simpatía, también traducido como de afición, gusto o atracción, nos señala algo que a primera vista puede parecer simple: estamos más predispuestos a dejarnos influir por personas que nos agradan, y menos por personas que nos producen rechazo», explica el psicólogo y escritor estadounidense Robert Cialdini, quien escribió en 1984 Influence: The Psychology of Persuasion («Influencia: la psicología de la persuasión») y definió los seis principios.

 

Lo mejor es que evite dar demasiados datos sobre usted a quien no conoce. Tendemos a confiar más en extraños cuando navegamos por internet. Recuerde que más vale prevenir que curar. La observación también puede referirse a los documentos que tiene en el equipo. Por eso, cuanta menos información dejes a la vista en el escritorio, mejor.

 

Un consejo: Si no quiere compartir demasiados datos sobre usted en Internet, desactiva la geolocalización para que otros usuarios de internet no sepan dónde se encuentra. También es recomendable comprobar su perfil público o visitar directorios de Internet para saber qué información tienen sobre usted.

 

Principio de escasez

 

«Date prisa». «Es urgente». «Cambia ya tu contraseña». «¡Llama ya!».

 

Presionar a los usuarios para lograr sus objetivos es una de las técnicas más habituales de los ciberdelincuentes. A través de esa presión buscan pasar inadvertidos, dándole menos oportunidad al usuario de que caiga en la trampa. Muchas veces usan ese sentido de urgencia para enviar «ofertas que no te puedes perder» y todo tipo de «oportunidades» que, en realidad, no son tan «exclusivas» como aseguran en esos emails o mensajes de texto.

 

Y esa urgencia está muy relacionada con lo que en psicología se define como el «principio de escasez», el cual nos hace estar más dispuestos acercarnos a algo si notamos que es escaso o difícil de conseguir.

 

Principio de autoridad

 

La amenaza a menudo viene de la mano de la urgencia. Por ejemplo: «Es urgente. Si no cambias ahora mismo tu contraseña, perderás tu cuenta para siempre». Y la amenaza viene de la mano de lo que se conoce como principio de autoridad.

 

Según explica Cialdini, «estamos más predispuestos a dejarnos influenciar cuando somos interpelados por una autoridad».

 

No se trata de coaccionar o ejercer poder, sino con «el aura de credibilidad que la autoridad supone». «Tendemos a creer que quienes están en posiciones de liderazgo tienen más conocimiento, más experiencia, o más derecho a opinar», añade en su libro el especialista. Para ello, a menudo los hackers intentan hacerse pasar por una entidad o persona de confianza de la víctima. A esta técnica se la conoce como phishing.

 

Principio de reciprocidad

 

A través de una serie de preguntas de índole personal, los estafadores desarrollan los perfiles de sus víctimas. Gracias a ello, logran establecer vínculos para identificar los temas hacia los que pueden reaccionar de manera más favorable para ellos.

 

Muchas veces, usan perfiles falsos para lograr el engaño. Este tipo de conexiones también se usan para fraudes de «sextorsión». A través de estas estrategias aplican lo que se conoce en psicología como «principio de reciprocidad», el cual establece que tendemos a tratar a los demás de la misma manera en que nos tratan a nosotros.

 

Por ejemplo, si recibimos un regalo o beneficio, sentiremos la necesidad de devolver el favor. La eficacia de este método psicológico es mayor si el regalo es percibido como algo personal. Lo mismo ocurre si nos cuentan una confidencia o un secreto íntimo: es muy probable que queramos contar también algo nuestro.

 

Un consejo: No establezca diálogos con desconocidos sobre su vida personal. ¿Por qué le hace tantas preguntas? ¿Para qué necesita saber toda esa información?

 

Principio de compromiso y coherencia

 

Al haber observado sus comportamientos previos y saber sobre usted, los hackers son capaces de captar la atención de sus víctimas. Si, por ejemplo, quieren que la persona tome una decisión de manera impulsiva, será más fácil lograrlo siendo coherente con el perfil de esa persona, con los gustos que tiene, con cómo se define…

Además, ese principio establece que cuando una persona se compromete con algo, tiene más probabilidades de cumplir con su compromiso, incluso cuando su motivación original haya desaparecido. Por eso, a veces, los estafadores se valen de formularios y preguntas clave que te obligan a comprometerte con algo específico.

 

Principio de aprobación social

 

Este principio, al que también se denomina «consenso» o «seguir el rebaño», establece que tendemos a acomodarnos a lo que opina la mayoría de la gente. Eso quiere decir que, si mucha gente da algo por bueno, nosotros probablemente lo hagamos también (y viceversa).

 

Los estafadores intentan convencernos de que cierto antivirus (que en realidad es un programa malicioso que intentan vender en ventanas emergentes) es el que usa todo el mundo… y por eso lo «necesitamos» instalar nosotros también. O que mucha gente participó en un sorteo y a mucha gente le tocó un precio: «¡Tú también puedes lograrlo!»

 

Métodos más comunes empleados por los estafadores informáticos

 

 

Para conseguir que les pagues o les entregues información personal, los ciberdelincuentes utilizan métodos ya conocidos, pero que siguen resultando muy efectivos si no se está prevenido. El spam y el phishing suelen estar muy relacionados, pues los estafadores envían correos masivos con la intención de recopilar información de los destinatarios. Para ellos, los datos personales de los usuarios son un premio y un valor deseado, así lo demuestran las publicaciones en los medios y nuestro propio análisis de flujo de spam. Uno de los objetivos más comunes es conseguir el acceso a tus cuentas o números de tarjeta bancaria a través del phishing por correo electrónico y las técnicas de ingeniería social.

 

Notificaciones falsas de las redes sociales

 

Los estafadores suelen enviar notificaciones falsas que parecen proceder de las redes sociales sobre nuevas amistades, su actividad, comentarios, me gusta y demás. Este tipo de mensajes son idénticos a los reales, la única diferencia es que estos tienen un enlace phishing, que no siempre es fácil de detectar. En ese enlace se anima a los usuarios a introducir su nombre de usuario y contraseña en una página falsa de inicio de sesión.

 

También se utilizan estos mensajes a modo de alertas de amenazas falsas, para anunciar que se ha detectado actividad sospechosa en tu cuenta o de que se ha introducido una nueva función y que se bloqueará a los usuarios que no den su consentimiento. Sea como sea, el mensaje contendrá un botón con un enlace a una página phishing de inicio de sesión.

 

El phishing en los bancos

 

El phishing que busca la información de las tarjetas bancarias de los usuarios sigue siendo el tipo de fraude online más popular. Estos mensajes falsos se pueden enviar en nombre de bancos o sistemas de pago informando de un posible bloqueo de cuenta o de “actividad sospechosa” en la cuenta personal del cliente.

 

Bajo el pretexto de restaurar el acceso, confirmar la identidad o cancelar una transacción, se le solicita al usuario que introduzca su información bancaria (a menudo con el código CVV/CVC) en un sitio web bancario falso. Tras recibir los datos, los criminales retiran el dinero de inmediato de la cuenta de la víctima. Lo mismo sucede con los sistemas de pago, pero en estos casos, solo se les solicita a los usuarios que inicien sesión en sus cuentas.

 

Notificaciones falsas de sitios de servicios y de venta

 

También se crean estas notificaciones falsas en nombre de marcas online, servicios de entrega, sitios de reservas, plataformas multimedia, bolsas de empleo y otros servicios populares online. Los ciberdelincuentes confían en las probabilidades de que sus mensajes spam lleguen a algún usuario de estos servicios, que seguramente entren en pánico y pinchen en el enlace.

 

Notificaciones falsas de servicios de correo electrónico

 

Los estafadores utilizan este tipo de estafa online para recopilar nombres de usuario y contraseñas de servicios de correo electrónico. Uno de los dos pretextos más comunes es que los usuarios restauren su contraseña o que aumenten el espacio disponible en la bandeja de entrada que está supuestamente llena. En el último caso, el enlace phishing promete más capacidad de almacenamiento, lo cual no resulta sospechoso en la era de la computación en la nube y la creciente necesidad de almacenar grandes cantidades de datos.

 

El fraude del “príncipe nigeriano”

 

Por último, uno de los tipos más antiguos de spam, la promesa de fortuna de un familiar o abogado de un millonario muerto a cambio de un pago por adelantado sigue haciendo de las suyas. A veces, el ciberdelincuente se hace pasar por un famoso en una situación complicada. La víctima recibirá, supuestamente, una buena recompensa si ayuda al millonario a retirar fondos paralizados en bancos.

Para ello, deben enviar primero información detallada sobre ellos mismos (pasaporte, datos de cuenta, etc.) y una pequeña cantidad de dinero para el papeleo. La lista de temas y técnicas preferidos por los estafadores no termina aquí, pero estos cinco que acabamos de describir son los más efectivos y, por tanto, los fraudes en Internet más comunes.

 

La mejor arma para no caer: La cautela

 

 

El mejor consejo para evitar fraudes online que te podemos dar es que seas cauto y, como esto es un poco difuso, te recomendamos seguir esta serie de pasos:

 

Cuando recibas un mensaje con una notificación de una compañía o servicio, comprueba que proviene de una dirección auténtica. Por ejemplo, un mensaje de Google debería de ser no-reply@accounts.google.com y no no-reply@accounts.google.scroogle.com, o algo por el estilo.

 

Si pinchas en el enlace de uno de estos mensajes, asegúrate de que no se trate de un sitio web falso. Utiliza una solución de seguridad de confianza con protección contra spam y phishing, detectará los correos electrónicos fraudulentos y te avisará de inmediato.