Las
personas somos curiosas por naturaleza, algunas más que otras – buscan obtener
información ajena como contraseñas de redes sociales (Facebook principalmente),
números de tarjetas de créditos y otros datos similares. Todo esto se puede
lograr con una técnica llamada Ingeniería Social. Esta es empleada por hackers
que han logrado convertirse en expertos en dicha técnica.
Quizá
ya hayas escuchado este término que es muy común en el mundo de la seguridad
informática. Sin embargo, no todos conocen que significa en realidad.
A
grandes rasgos puede asumirse como un conjunto de técnicas empleadas
principalmente por personas que quieren hackear a otras personas para obtener algún
beneficio particular.
Las estafas de ingeniería social son el arte del engaño utilizado por personas malintencionadas para alimentar su ambición por el dinero o alguna otra cosa.
Las estafas de ingeniería social son el arte del engaño utilizado por personas malintencionadas para alimentar su ambición por el dinero o alguna otra cosa.
¿Cómo funciona la ingeniería social?
Es
posible que hayas recibido llamadas telefónicas o correos electrónicos de
personas que facilitan ofertas de tarjetas de crédito. Tratan ganarse la
confianza de la gente para que puedan pagar una fuerte cantidad de dinero para
reclamar las ofertas. Llamamos a este tipo de cosas como un fraude. Este es un
ejemplo típico de ingeniería social, donde la gente trata a base de trucos ganarse
la confianza de sus víctimas.
Pero
la ingeniería social no sólo se utiliza
para beneficios financieros. La ingeniería social se puede usar también para
otros fines, por ejemplo, la recolección de información de las personas. Se trata de jugar con la mente de las personas para hacer
las cosas.
Puedes
encontrar ingenieros sociales en todas partes. Incluso tus amigos sentados a tu
lado que espían el teclado mientras escribes las contraseñas, están llevando a
cabo una acción de ingeniería social. No
existe una certificación para la ingeniería social. Por lo tanto te diré en
detalle cuáles son los tipos de ingeniería social.
Tipos de ataques de ingeniería social
1. Phishing
El
phishing es el tipo más común de ingeniería social. El atacante hace una copia del
sitio web (en la mayoría de ocasiones la parte del soporte técnico) de una
empresa reconocida y envía el enlace a los objetivos a través de correos
electrónicos o mediante redes sociales. La persona, desconociendo el verdadero
objetivo del atacante, termina por comprometer información personal e incluso detalles
de tarjetas de crédito.
2. Spear Phishing
La
técnica de ingeniería social conocida como Spear Phishing se considera como un subconjunto
del phishing. Aunque son similares, se requiere un esfuerzo adicional desde el
lado del atacante. Tiene que prestar atención al grado de singularidad para limitar
el número de usuarios a los que se dirige. Este trabajo duro da sus frutos; las
posibilidades de que los usuarios que caigan en los falsos mensajes de correo
electrónico son considerablemente mayores con esta técnica.
3. Vishing
Los
impostores o ingenieros sociales pueden estar en cualquier lugar de Internet.
Pero muchos prefieren la manera antigua – utilizar el teléfono. Este tipo de
ingeniería social se conoce como vishing. Ellos recrean el sistema IVR de una
empresa. Se adhieren a un número de teléfono gratuito y engañan a la gente
llamando a su número. La mayoría de la gente no piensa dos veces antes de ingresar
información confidencial en el sistema IVR.
4. Pretexting
El
Pretexting es otra forma de ingeniería social, que es posible que hayas visto.
Se basa en un escenario con guion presentado delante de los objetivos. Se
utiliza para extraer información de identificación personal o alguna otra
información. Un atacante podría hacerse pasar por otra persona o una figura
conocida. Es posible que hayas visto varios programas de televisión y
películas, en donde los detectives utilizan esta técnica para entrar en lugares
donde no están autorizados o extraen información engañando a la gente. Otro
ejemplo de esta técnica pueden ser correos electrónicos falsos que recibes de tus
amigos solicitándote dinero. Si fuese este el caso, probablemente alguien hackeó
su cuenta o creó una falsa.
5. Baiting
Si
has visto la película Troya, seguramente recuerdas la escena del caballo de
Troya. Una variante digital de esta técnica es conocida como Baiting (cebo) y
es una de las técnicas de ingeniería social utilizada por gente con fines
maliciosos. Los atacantes dejan unidades USB infectadas o discos ópticos en
lugares públicos con la esperanza de que alguien lo recoja por curiosidad y lo
us en sus dispositivos. Un ejemplo más moderno de esta técnica se puede
encontrar en la web. Te encuentras diferentes enlaces de descarga (sobre todo
cuando visitas páginas tipo warez) que en su mayoría contienen software
malicioso, estos enlaces se muestran a la gente al azar esperando que alguien
haga clic en ellos.
6. Tailgating
Esta
técnica de ingeniería social, se basa en solicitar la ayuda de una persona
autorizada para tener acceso a las áreas restringidas donde está presente la
autenticación de RFID o alguna otra barrera electrónica. También muy utilizada
en series y películas detectivescas.
7. Quid pro quo
Este
método involucra a las personas que prestan soporte técnico. Hacen llamadas al
azar a los empleados de una empresa solicitando ayuda con respecto a un tema. A
veces, estas personas tienen la oportunidad de hacer que la víctima haga lo que
quieren. Se puede utilizar también para la gente normal.
Quid
pro quo implica un intercambio de algo con el objetivo, por ejemplo, el
atacante trata de resolver un problema real de la víctima. El cambio puede
implicar cosas materiales como un intercambio de información.
¿Cómo defenderse de los ingenieros sociales?
Este
tipo de ataques vienen cuando menos lo esperas, por lo tanto es necesario estar
alerta cuando alguien te pide que le des tu información o cuando alguna persona
desconocida te está dando algo de forma gratuita. Las personas ya no son tan
ingenuas como antes y los atacantes lo saben – ahora no es común ver la famosa
ventana emergente diciéndote que has
ganado un millón de dólares por serel visitante # 1000, pues casi nadie caería
en esto, pero ello implica que los atacantes han evolucionado – llevan a cabo
ataques más sofisticados.
Los
ingenieros sociales también pueden tratar de tocar
la parte emocional de las personas.
Puede que intenten llevarte en un viaje de culpabilidad, volverte nostálgico, o
incluso tratar de impactar negativamente. La situación se vuelve alarmante; la
gente tiene la tendencia a abrirse frente a los que tratan de darles apoyo
emocional.
Una
cosa más a la que hay que estar atento para salvarse de diferentes tipos de engaños
de ingeniería social es lo que haces en internet. Una persona que intenta hackear
tu cuenta en línea puede ver a través de tu perfil en Facebook y encontrar algunas pistas sobre las respuestas
a las preguntas de seguridad o incluso tu contraseña.
En
la mayoría de casos, estas preguntas se responden con cosas menos importantes
como nombres de mascotas, nombres de escuela, lugar de nacimiento, etc. También
presta atención a las páginas web que visitas o qué archivos descargas. Pueden
contener herramientas maliciosas para recolectar tu información.
No
obstante, estas son formas generales de defenderse ante un ataque de ingeniería social. Las grandes organizaciones han ideado métodos
más formales para hacer frente a estas situaciones. Esto puede incluir cosas
tales como la realización de ejercicios regulares de los empleados, la
capacitación para hacer frente a este tipo de situaciones y el establecimiento
de métodos adecuados para identificar una persona legítima de una falsa.
¿Te ha sido de utilidad este artículo? ¿Tienes algo que aportar?
Hazme el favor de compartir el post en las redes sociales.
Este comentario ha sido eliminado por el autor.
ResponderBorrarGracias por enriquecer el post Brayan. ¡Saludos cordiales!
BorrarMuchas gracias hermano, muy buena informacion
ResponderBorrar