miércoles, 29 de marzo de 2017

¿Qué es la Ingeniería Social? – todo lo que debes saber

Las personas somos curiosas por naturaleza, algunas más que otras – buscan obtener información ajena como contraseñas de redes sociales (Facebook principalmente), números de tarjetas de créditos y otros datos similares. Todo esto se puede lograr con una técnica llamada Ingeniería Social. Esta es empleada por hackers que han logrado convertirse en expertos en dicha técnica.


Quizá ya hayas escuchado este término que es muy común en el mundo de la seguridad informática. Sin embargo, no todos conocen que significa en realidad.


A grandes rasgos puede asumirse como un conjunto de técnicas empleadas principalmente por personas que quieren hackear a otras personas para obtener algún beneficio particular.  Las estafas de ingeniería social son el arte del engaño utilizado por personas mal intencionadas para alimentar su ambición por el dinero o alguna otra cosa.

¿Cómo funciona la ingeniería social?
Es posible que hayas recibido llamadas telefónicas o correos electrónicos de personas que facilitan ofertas de tarjetas de crédito. Tratan ganarse la confianza de la gente para que puedan pagar una fuerte cantidad de dinero para reclamar las ofertas. Llamamos a este tipo de cosas como un fraude. Este es un ejemplo típico de ingeniería social, donde la gente trata a base de trucos ganarse la confianza de sus víctimas.

¿Qué es la Ingeniería Social? – todo lo que debes saber

Pero la ingeniería social no sólo se utiliza para beneficios financieros. La ingeniería social se puede usar también para otros fines, por ejemplo, la recolección de información de las personas. Se trata de jugar con la mente de las personas para hacer las cosas.

Puedes encontrar ingenieros sociales en todas partes. Incluso tus amigos sentados a tu lado que espían el teclado mientras escribes las contraseñas, están llevando a cabo una acción de ingeniería social.  No existe una certificación para la ingeniería social. Por lo tanto te diré en detalle cuáles son los tipos de ingeniería social.

Tipos de ataques de ingeniería social
1. Phishing
El phishing es el tipo más común de ingeniería social. El atacante hace una copia del sitio web (en la mayoría de ocasiones la parte del soporte técnico) de una empresa reconocida y envía el enlace a los objetivos a través de correos electrónicos o mediante redes sociales. La persona, desconociendo el verdadero objetivo del atacante, termina por comprometer información personal e incluso detalles de tarjetas de crédito.

2. Spear Phishing
La técnica de ingeniería social conocida  como Spear Phishing se considera como un subconjunto del phishing. Aunque son similares, se requiere un esfuerzo adicional desde el lado del atacante. Tiene que prestar atención al grado de singularidad para limitar el número de usuarios a los que se dirige. Este trabajo duro da sus frutos; las posibilidades de que los usuarios que caigan en los falsos mensajes de correo electrónico son considerablemente mayores con esta técnica.

3. Vishing
Los impostores o ingenieros sociales pueden estar en cualquier lugar de Internet. Pero muchos prefieren la manera antigua – utilizar el teléfono. Este tipo de ingeniería social se conoce como vishing. Ellos recrean el sistema IVR de una empresa. Se adhieren a un número de teléfono gratuito y engañan a la gente llamando a su número. La mayoría de la gente no piensa dos veces antes de ingresar información confidencial en el sistema IVR.

4. Pretexting
El Pretexting es otra forma de ingeniería social, que es posible que hayas visto. Se basa en un escenario con guion presentado delante de los objetivos. Se utiliza para extraer información de identificación personal o alguna otra información. Un atacante podría hacerse pasar por otra persona o una figura conocida. Es posible que hayas visto varios programas de televisión y películas, en donde los detectives utilizan esta técnica para entrar en lugares donde no están autorizados o extraen información engañando a la gente. Otro ejemplo de esta técnica pueden ser correos electrónicos falsos que recibes de tus amigos solicitándote dinero. Si fuese este el caso, probablemente alguien hackeó su cuenta o creó una falsa.

5. Baiting
Si has visto la película Troya, seguramente recuerdas la escena del caballo de Troya. Una variante digital de esta técnica es conocida como Baiting (cebo) y es una de las técnicas de ingeniería social utilizada por gente con fines maliciosos. Los atacantes dejan unidades USB infectadas o discos ópticos en lugares públicos con la esperanza de que alguien lo recoja por curiosidad y lo us en sus dispositivos. Un ejemplo más moderno de esta técnica se puede encontrar en la web. Te encuentras diferentes enlaces de descarga (sobre todo cuando visitas páginas tipo warez) que en su mayoría contienen software malicioso, estos enlaces se muestran a la gente al azar esperando que alguien haga clic en ellos.

6. Tailgating
Esta técnica de ingeniería social, se basa en solicitar la ayuda de una persona autorizada para tener acceso a las áreas restringidas donde está presente la autenticación de RFID o alguna otra barrera electrónica. También muy utilizada en series y películas detectivescas.

 7. Quid pro quo
Este método involucra a las personas que prestan soporte técnico. Hacen llamadas al azar a los empleados de una empresa solicitando ayuda con respecto a un tema. A veces, estas personas tienen la oportunidad de hacer que la víctima haga lo que quieren. Se puede utilizar también para la gente normal.
Quid pro quo implica un intercambio de algo con el objetivo, por ejemplo, el atacante trata de resolver un problema real de la víctima. El cambio puede implicar cosas materiales como un intercambio de información.

¿Cómo defenderse de los ingenieros sociales?
Este tipo de ataques vienen cuando menos lo esperas, por lo tanto es necesario estar alerta cuando alguien te pide que le des tu información o cuando alguna persona desconocida te está dando algo de forma gratuita. Las personas ya no son tan ingenuas como antes y los atacantes lo saben – ahora no es común ver la famosa ventana emergente diciéndote que has ganado un millón de dólares por serel visitante # 1000, pues casi nadie caería en esto, pero ello implica que los atacantes han evolucionado – llevan a cabo ataques más sofisticados.

Los ingenieros sociales también pueden tratar de tocar la parte emocional de las personas. Puede que intenten llevarte en un viaje de culpabilidad, volverte nostálgico, o incluso tratar de impactar negativamente. La situación se vuelve alarmante; la gente tiene la tendencia a abrirse frente a los que tratan de darles apoyo emocional.

Una cosa más a la que hay que estar atento para salvarse de diferentes tipos de engaños de ingeniería social es lo que haces en internet. Una persona que intenta hackear tu cuenta en línea puede ver a través de tu perfil en Facebook y encontrar algunas pistas sobre las respuestas a las preguntas de seguridad o incluso tu contraseña.

En la mayoría de casos, estas preguntas se responden con cosas menos importantes como nombres de mascotas, nombres de escuela, lugar de nacimiento, etc. También presta atención a las páginas web que visitas o qué archivos descargas. Pueden contener herramientas maliciosas para recolectar tu información.

No obstante, estas son formas generales de defenderse ante un ataque de ingeniería social.  Las grandes organizaciones han ideado métodos más formales para hacer frente a estas situaciones. Esto puede incluir cosas tales como la realización de ejercicios regulares de los empleados, la capacitación para hacer frente a este tipo de situaciones y el establecimiento de métodos adecuados para identificar una persona legítima de una falsa.
¿Te ha sido de utilidad este artículo? ¿Tienes algo que aportar?
Hazme el favor de compartir el post en las redes sociales.



Fuente: Fossbytes 

3 comentarios:

Tu opinión es importante para mí, porque me ayuda a mejorar. Si te gustó el articulo o tienes alguna sugerencia, déjame tu comentario con tu nombre para poder responderte tan pronto como pueda.