5 emociones utilizadas en ingeniería social

Written By Guest User

¿Está siendo bombardeado con correos electrónicos de phishing? ¿Le preocupa que incluso el phishing más básico pueda infiltrarse en su organización? En esta entrada de blog, explicamos cómo funciona la ingeniería social, cómo los ciberdelincuentes atacan sus emociones y cómo detectar un posible phishing.

¿Qué es la ingeniería social?

La ingeniería social es una forma altamente efectiva en que los ciberdelincuentes obtienen acceso no autorizado a su información personal y privada a través de su teléfono, computadora portátil u otro dispositivo electrónico. Los ciberdelincuentes crean estafas que se aprovechan de sus emociones buscando que actúe rápidamente sin reflexionar bien en la situación. 

¿Qué emociones se busca explotar en la ingeniería social?

  • Miedo

  • Codicia

  • Sorpresa

  • Enojo

  • Curiosidad

¿Por qué caemos en los phishes?

Al explotar emociones como el miedo, la codicia, la sorpresa, el enojo o la curiosidad, los ciberdelincuentes buscan que actúe empujado por estas emociones sin reflexionar de manera crítica en la situación. El psicólogo y economista, Daniel Kahneman, explica cómo funciona esto a través de un modelo de dos sistemas de pensamiento:

El sistema 1 es rápido e intuitivo. Este es el sistema que se ocupa de las respuestas emocionales y las decisiones que tomamos a diario. Cada día nos enfrentamos a miles de decisiones: desde qué calcetín ponernos primero hasta cuánta leche queremos echarle a nuestro café. Si tuviéramos que deliberar y reflexionar de manera crítica sobre cada pequeña decisión, no terminaríamos nunca con nada. Esta es la razón por la que dependemos tanto del sistema 1. El sistema 1 se basa en atajos mentales, o respuestas de "piloto automático" que ayudan a aliviar la carga mental que implica tomar tantas decisiones. Sin embargo, el sistema 1 también podría perjudicar nuestra toma de decisiones. Kahneman afirma que todos los seres humanos tenemos un sesgo de verdad, o una creencia de que la gente suele decir la verdad en lugar de mentir, una creencia que puede llevar a hacer clic en un archivo adjunto de correo electrónico sospechoso o increíble, por ejemplo.

El sistema 2 es deliberado y lento. Este es el sistema que utilizamos para tomar decisiones difíciles que requieren que disminuyamos la velocidad y consideremos nuestras opciones, como haríamos si tuviéramos que cambiar de carrera o comprar un auto nuevo. Los ciberdelincuentes dependen de que no utilicemos este tipo de toma de decisiones y que más bien confiemos en nuestras emociones y en la respuesta del sistema 1.

¿Qué tácticas utilizan los ingenieros sociales?

Autoridad: Este tipo de ataques son populares en el phishing y el vishing. La mayoría de las personas no quieren meterse en ningún problema legal, por lo que siguen la corriente. Estos ataques generalmente juegan con la emoción del miedo, ya que las personas tienen miedo de meterse en problemas con la ley u otra figura de autoridad.

El agrado: Es un hecho que a la gente le gustan las personas que son encantadoras o serviciales. Esta táctica podría usarse en ataques de vishing y phishing y, a veces, se mezcla con la reciprocidad. En general, un ciberdelincuente se comunica fingiendo ser útil y encantador para que usted le brinde información personal, como credenciales de inicio de sesión, número de seguridad social u otra información clasificada. Estos ataques pueden aprovecharse de emociones como la curiosidad y la sorpresa.

Escasez: Esta es una técnica popular de phishing que generalmente implica limitaciones de cantidad o tiempo. Por ejemplo, podría recibir un correo electrónico de un superior de su organización exigiéndole que haga clic en un enlace para completar una tarea en 15 minutos o de lo contrario sucederá algo malo. Este tipo de ataques se aprovechan de emociones como el miedo o la sorpresa, ya que el correo electrónico es inesperado y lo más probable es que le tema a las consecuencias de no completar la acción exigida.

Prueba social: Consiste en usar un nombre para engañar a la gente y que piense que tiene la autoridad para hacer demandas específicas. Por ejemplo, un ciberdelincuente podría pedirle sus credenciales de inicio de sesión haciéndose pasar por su jefe o alguien más que trabaje para su empresa. Este método de ingeniería social depende de las emociones del miedo y la sorpresa.

Reciprocidad: Sucede cuando se le pide que proporcione información porque ha recibido algo. Por ejemplo, podría recibir un correo electrónico indicando que se le dará un aumento si hace clic en el enlace proporcionado e ingresa su información personal. Esta táctica depende de las emociones de sorpresa, curiosidad e incluso codicia.

Cómo detectar un phishing

 ¿Parece sospechoso? Si recibe un correo electrónico de una dirección que no reconoce o recibe una solicitud que es inusual, ¡no lo haga! Siempre verifique que sea una tarea que se le haya pedido realizar, o que la persona en cuestión realmente sea quien le haya enviado ese correo electrónico o texto.

¿Demasiado bueno para ser verdad? Si algo suena demasiado bueno para ser verdad, probablemente no lo sea. Si bien ganar un millón de dólares suena increíble y puede sentirse tentado a hacer clic en ese enlace, tómese un momento para pensar en la situación. Lo más probable es que se trate de un ciberdelincuente aprovechándose de sus emociones.

La mejor defensa contra los ciberdelincuentes es utilizar la toma de decisiones del sistema 2: detenerse y analizar la situación antes de actuar. Siempre pregúntese: ¿es esto demasiado bueno para ser verdad? ¿Es esto algo que ya me han pedido hacer en el pasado? ¿Esta persona u organización suele ponerse en contacto conmigo de esta manera? En caso de duda, comuníquese con la persona u organización utilizando un método confiable para confirmar que lo que le han dicho sea legítimo.

Guest User
Previous

Cómo mantenerse ciberseguro durante las vacaciones
Next

Vulnerabilidad del día cero