David Harley, Senior Research Fellow de ESET, acredita su formación académica en ciencias sociales con su constante interés en la Ingeniería Social detrás de la ciberdelincuencia.
Harley dice que los scams y las técnicas de Ingeniería Social han sido una constante en el cibercrimen, pero en los últimos años, algunos se han vuelto notablemente más sofisticados y más difíciles de ser detectados -incluso para aquellos más entrenados. "Mucha actividad criminal usa al menos parcialmente la Ingeniería Social. Ha sido constante en toda la vida de la seguridad en Internet", afirma el experto.
Según Harley, los cambios en la forma en que el malware se propaga han hecho que estas técnicas se vuelvan más importantes. "Cuando empecé en esto, hace cerca de 25 años, se trataba más que nada de manejar virus, y terminé lidiando con scams simplemente porque era algo distinto a los virus. Lo anti-malware era un concepto simple -se fijaba si el código de autorreplicaba o no. Pero los virus prácticamente han desaparecido, y ahora son una parte muy pequeña de todo el asunto del malware", señala.
"Mientras cada vez menos malware se autorreplica, se vuelve más importante para los códigos maliciosos propagarse de otras formas. La Ingeniería Social es más simple en muchos sentidos que los ataques técnicamente sofisticados, aunque en muchos casos, incluso un ataque drive-by tiene que atraer a las personas para que visiten un sitio malicioso", explica.
Los scammers se han diversificado y perfeccionado, dejando atrás los correos de phishing mal escritos y basados en texto; ahora construyen sitios falsos enteros y páginas de Facebook como señuelos para campañas maliciosas. E incluso el humilde y clásico correo falso ha evolucionado.
Harley dice: "Si bien a veces se puede identificar un correo falso a la distancia, algunos son técnicamente más sofisticados. Los bancos y empresas también hacen más fáciles las cosas para los scammers, usando lenguaje que ellos también usaría, y enlaces embebidos que no son claramente identificables con los del propio dominio de la institución. Esto hace más difícil para un lector sin experiencia o conocimiento especializado saber distinguirlos e identificar al legítimo".
Mientras investigaba para un reciente post sobre estafas telefónicas de soporte técnico, halló que los scammers han cambiado sus métodos, y ahora la "clásica" llamada en la que prentenden ser empleados de soporte de Microsoft es algo corriente. "Cuando se trata de scams de este tipo, definitivamente se puede ver una creciente sofisticación y diversificación a lo largo de los años. El cambio ha sido bastante drástico a partir de 2011: más que scammers simplemente llamando para decirte que tienes un problema con Windows, los puedes encontrar al acecho en páginas de Facebook y motores de búsqueda esperando que alguien con un problema se comunique con ellos, y no a la inversa. En otros métodos, tu teléfono sonaría y alguien diría 'Sabemos que tuvo un accidente. Podemos conseguirle el pago de la indemnización' con la esperanza de que seas alguien que realmente tuvo esa experiencia", explica Harley.
Según el investigador, se han creado industrias alrededor de los scams, incluyendo a diseñadores de sitios falsos que construyen señuelos. "Estamos viendo cada vez más reportes de sitios que proveen plantillas para páginas que luego se usan para engañar a los usuarios para que llamen a un call center, y ya no tanto al supuesto empleado de call center llamando a la víctima. Las personas son engañadas a través de páginas de Facebook y mensajes emergentes".
Para las víctimas, todavía hay poco para hacer en términos de defensa técnica contra los estafadores, excepto usar el ingenio al navegar por Internet, aunque hay mucha información en línea para ayudar, así como formas de devolver el golpe.
Microsoft y SANS ahora ofrecen formas de reportar incidentes de este tipo, aunque mucha de la información que obtiene Harley viene de comentarios en artículos que publicó con anterioridad. "Uno escucha sobre personas que dan vuelta el tablero y logran mantener a los scammers al otro lado del teléfono durante 20 minutos o más -suena muy divertido, pero no recomiendo que sigan ese camino a menos que tengan la certeza de que se pueden recuperar de cualquier intento de bloquear su sistema. En muchos casos, el atacante lo hará solo por maldad si piensa que no va a obtener el rédito económico que persigue".