En artículos anteriores se ha analizado la utilidad de la Ingeniería Social en la propagación de muchos de los códigos maliciosos de mayor propagación, usando referencias a catástrofes, desastres naturales y nombres o imágenes de famosos.

Pero esos no son los únicos temas utilizados puntualmente por el malware; una de las prácticas más usuales busca aprovecharse de la confianza que el usuario tiene hacia alguna empresa o marca reconocida.

El uso de nombres de compañías u organizaciones no sólo se aplica en gusanos adjuntos a mensajes de correo electrónico, sino también en troyanos y phishing, principalmente.

En el caso de los gusanos, la utilización suele ser en el contenido del mensaje de correo electrónico. Una práctica altamente utilizada es armar un mensaje como si proviniera de una empresa de software reconocida, con información sobre una supuesta vulnerabilidad y diciendo que el archivo adjunto es un parche de seguridad informática.

Además de esto, los gusanos suelen estar adjuntos a mensajes que dicen provenir del administrador del servicio de Internet o del correo electrónico del usuario, notificando de algún error y dando un archivo o URL para solucionarlo que, al ser abiertos, instalan o descargan malware.

En muchos de estos casos, para darle mayor credibilidad al mensaje, los creadores de códigos maliciosos incluyen una leyenda al pie del correo electrónico, informando que el mismo ha sido analizado por algún antivirus reconocido y que está libre de malware.

Pero no siempre están asociadas a compañías de software o proveedores de Internet, sino que también suelen aprovecharse de otro tipo de organizaciones. Tal es el caso de una de las versiones del gusano Sober, cuyo mensaje de correo electrónico decía provenir del Comité de Organización del Mundial de Fútbol 2006 desarrollado en Alemania.

Con estas prácticas, muchos de los usuarios no experimentados caen en el engaño y son infectados por gusanos, creyendo que realmente provienen de la empresa cuya identidad es suplantada.

Las prácticas utilizadas en troyanos suelen ser similares, dado que se basan también en armar un mensaje de correo electrónico como si proviniera de una empresa reconocida por el usuario, con la intención que este abra el archivo adjunto o acceda a la URL mencionada en el contenido del correo.

Muchos de estos mensajes, especialmente en el caso de los troyanos cuando son enviados masivamente a través de correo electrónico, suelen estar armados en formato HTML o texto enriquecido, incluyendo logos o el formato típico de la empresa utilizada como atractivo para llamar la atención de los usuarios.

En el caso del phishing, la metodología es similar, con la diferencia que no suele incluir archivos adjuntos y que las empresas cuyos nombres se utilizan no suelen estar relacionadas con el campo informático. Los mensajes creados para favorecer el phishing suelen utilizar nombres de compañías relacionadas con el ambiente financiero (bancos, tarjetas de crédito, etc) o de sitios de Internet reconocidos (como Paypal o eBay).

En estos casos el engaño suele ser más elaborado, dado que está apoyado por un sitio de Internet diseñado con la misma apariencia del sitio original de la empresa.

Cuando se aplica la Ingeniería Social de esta forma, utilizando nombres de compañías u organizaciones reconocidas, los resultados obtenidos por los creadores de códigos maliciosos son amplios, dado que los usuarios suelen confiar en mensajes de este tipo con mayor facilidad que en otros casos.

Dado que la mayoría de las empresas y organizaciones tienen políticas de uso en las que explican que bajo ningún punto de vista enviarán mensajes de correo electrónico con archivos adjuntos ejecutables, los usuarios nunca deben hacer caso a este tipo de mensajes, aunque su producto de protección antivirus no detecte el archivo o el correo electrónico como infectado.

La Ingeniería Social no termina aquí, en su relación con el malware, ni en el aprovechamiento de empresas, famosos, catástrofes u otros temas que generen curiosidad o confianza en la posible víctima; sino que además se apoya en el desconocimiento y curiosidad del usuario.

Por eso es importante que los mismos se informen, eduquen y tengan en cuenta que aquello que es recibido por correo electrónico u otro medio no tiene por qué ser fidedigno y que, si no fue solicitado, hay grandes posibilidades de que se trate de un malware o engaño. Aplicando la prevención, pese a lo elaborado del mensaje o lo real que parezca, los usuarios estarán más protegidos.
 

Otros Artículos de la serie:
El arma infalible: la Ingeniería Social
El arma infalible: la Ingeniería Social (II)
El arma infalible: la Ingeniería Social (III)