Ingeniería Social, ¿quién es quién?

900 100 957 | 619 926 324

 

Ingeniería Social, ¿quién es quién?

COMPARTIR
 
 
Valora este artículo
(1 Voto)
Escrito por Miércoles, 28 Abril 2021 08:30
Categoría: Ofimatica

La ingeniería social o el arte de engañar, si, has leído bien, esta disciplina dista mucho al término al cual asociamos la palabra ingeniería. ¿Ingeniería? ¿A caso no son las personas que diseñan y construyen cosas como puentes, aviones,… o a la informática?

Lo cierto es, que este término tiene su origen en las ciencias sociales y hace referencia al esfuerzo de los factores de cambio, como un medio de comunicación, gobiernos o grupos privados, cuyo único fin es el de influir o moldear usando la manipulación para conseguir un objetivo, que en muchas ocasiones es bueno, como en el caso de las campañas de concienciación, o en otras tantas con fines menos honestos.

Por lo tanto, podemos ver en nuestro día a día a partidos políticos, expertos en marketing y publicidad o medios de comunicación haciendo uso de la ingeniería social.

Entonces...

¿Qué uso tiene la ingeniería social en ciberseguridad?

Los ciberdelincuentes usan técnicas de la ingeniería social para engañar a sus víctimas y de esta manera conseguir que compartan con ellos datos personales o cualquier otro tipo de información personal.

La ingeniería social aprovecha los sesgos cognitivos de las personas para conseguir su objetivo, que en el caso de la ciberseguridad es obtener datos confidenciales.

En la siguiente infografía creada por TitleMax y traducida por la psicóloga Cecilia Cores podemos ver cincuenta sesgos cognitivos a tener en cuenta para ser la mejor versión de ti, pero al mismo tiempo, estos mismos son usados por los ciberdelincuentes para intentar engañarte.

 

Podemos entonces extraer que la ingeniería social basa su comportamiento en la premisa de, es más fácil manejar a las personas que a las máquinas.

Así pues, las técnicas de manipulación psicológica, son las empleadas para realizar un ataque a la víctima, llamadas telefónicas, mensajería instantánea, redes sociales, correo electrónico,… son muchas y variadas, y al igual que avanza la tecnología, los ciberdelincuentes mejoran estas técnicas de tal manera que la víctima muy a menudo no se está dando cuenta que está siendo manipulada, de esta manera pueden robarnos la identidad y llegar a actuar en nuestro nombre, pero esto no es todo, vamos a ver algunas técnicas más empleadas, aunque existen muchas y muy variadas:

1. Spam

El spam en nuestro correo electrónico es la técnica de ingeniería social más antigua. Todos los días, al abrir nuestro gestor de correos electrónicos vemos una cantidad ingente de mails no deseados, que en una primera instancia son bastante molestos y en el mejor de los casos, nos hacen perder el tiempo eliminándolos.

Pero lo cierto es que la inmensa mayoría de estos mails, tienen por objetivo que realicemos una acción sobre el mismo, pinchar un enlace adjunto, descargarnos un archivo adjunto,… de esta manera pueden inyectarnos malware.

 

2. Phising

La forma más sencilla de ciberataque, pero también la más peligrosa y efectiva.

El Phising imita o suplanta la identidad de una persona u organización, por lo que es más fácil que lleguemos a pinchar en un enlace entre otras cosas.

Puede llegarnos a través de correo electrónico, por teléfono (vishing), por vía SMS (smishing).

 

3. Pretexting

Este tipo de ataque posiblemente sea de los más difícil de detectar, ya que los atacantes se hacen pasar por otra persona, tanto dentro de internet y las redes sociales, como fuera de ellas.

Los ciberdelincuentes espían e investigan a la víctima con el fin de crear una historia o pretexto los suficientemente creíble como para ser engañada.

 

Vamos a ver un ejemplo de ataque de ingeniería social, este ejemplo es ficticio y con fines educativos, por ello obviaré algunos detalles técnicos:

Juan es directivo en una empresa, la misma tiene unas políticas de seguridad informática muy estrictas para evitar ataques por parte de ciberdelincuentes. Al ser una persona importante dentro de la organización, está muy concienciada con los ciberataques y su nivel de protección es alto, por lo tanto es un objetivo difícil de alcanzar si vamos directamente por él.

En este caso se realiza un seguimiento de todos sus amigos, familiares y compañeros de trabajo, dentro y fuera de internet, para identificar quién es quién. Una vez realizadas estas tareas, el ciberdelincuente comenzará su estrategia para llegar a Juan y conseguir engañarle.

Gracias a los datos obtenidos en esta fase de investigación, hemos conseguido algunos correos electrónicos, números de teléfono personales y direcciones físicas. Estudiamos a todas estas personas y después de muchos datos, sabemos que Juan tiene debilidad por las figuras de personajes de cómic, un dato que muy pocas personas conocen, lo hemos obtenido gracias a la ingeniería social. A estas alturas, con esta información, nuestra tasa de éxito es elevada.

Un día Juan, recibe un supuesto mail de “Comikx Figures”, una empresa que comercializa figuras de personajes de cómic. Lo que no sabe Juan es que alguien se está haciendo pasar por esta empresa y sus intenciones no son para nada buenas. Al cabo de unos días y después de haberse confiado en estos mails, Juan recibe una oferta que no puede dejar escapar, la figura de Darkseid nº1 del año 1970, un fetiche imprescindible para este tipo de coleccionistas.

Al habernos ganado su confianza, Juan pincha en el enlace que hay en el cuerpo del mail. A partir de ese momento ya está en manos del cibercriminal, lo que venga después ya no está en manos de Juan y puede ser catastrófico para la empresa que trabaja e incluso para su vida personal. Ya podéis imaginar las consecuencias.

 

Nadie queda exento a ser víctima de ingeniería social, por lo tanto...

¿Cómo evitamos los ataques de ingeniería social?

 Te sorprenderá, pero la mejor manera de evitar los ataques de ingeniería social es haciendo uso del sentido común.

En un mundo tan rápido como el actual, es fácil que abramos un correo electrónico a causa de las prisas, por lo que además de configurar bien nuestro gestor para evitar spam en la medida que podamos, debemos dedicar unos segundos antes de abrir cualquier correo para intentar asegurarnos que es de una fuente confiable, por lo tanto, si, para protegernos, lo mejor ser desconfiado.

Otra medida que podemos optar independientemente del sistema operativo que usemos, es un antivirus, este nos ayudará a identificar software malicioso entre otras cosas.

La concienciación, a través de la formación de personas dentro y fuera del entorno laboral, es una de las mejores maneras de mitigar los ataques de ingeniería social.

 

Santos Martínez Perandones.

ingeniería social, ciberseguridad y seguridad de la información

 

 

 

 

Visto 490 veces

Deja un comentario

Asegúrate de llenar la información requerida marcada con (*). No está permitido el código HTML. Tu dirección de correo NO será publicada.

Newsletter:

Suscríbete a nuestra newsletter y recibe en tu correo electrónico los mejores cursos del momento, contenidos exclusivos sobre formación y empleo,...¡y mucho más!
captcha 
Estoy de acuerdo con el Acepto la Política de Privacidad

¡Síguenos en las redes!

Ayúdanos a mejorar:

Ayúdanos a mejorar

Tenemos en el horno un montón de contenidos para nuestro Blog a puntito de salir, pero como nuestro objetivo es que tu experiencia sea lo más satisfactoria posible, nos gustaría saber sobre qué temáticas o contenidos te gustaría leer o qué tipo de contenido te resultaría más útil.

Rellenando esta breve encuesta, nos ayudarás a crear un espacio acorde con tus preferencias y las del resto de usuarios.