Lo Último en IP@P
- De la palanca a la pantalla: la evolución de las máquinas tragamonedas y el auge de los juegos online
- Estos son los mejores beneficios de la IA en el diseño de Logos: Innovación y Eficiencia
- Estos son los riesgos de escoger un mal hosting para tu Ecommerce o Tienda Online
- Free Planet VPN: Tu clave para una navegación segura, gratuita y privada
- ¿Por qué la gente opta por WPS Office en vez de continuar usando Microsoft Office?
Cuando escuchamos el término Ingeniería Social, lo primero con que solemos asociarlo es con una rama de las ciencias políticas. Sin embargo, también es algo intrínsecamente ligado a la Seguridad Informática, y en este post te lo vamos a demostrar.
Cada usuario de Internet debe preocuparse por aprender a proteger sus activos, y no hay mejor manera de hacerlo que conociendo las diversas maneras en que los ciberdelincuentes pueden llegar a afectarlos, siendo la Ingeniería Social maliciosa uno de los métodos más utilizados para los ataques.
El mejor sistema de protección es estar bien informado. Por eso, te invitamos a leer el siguiente contenido, en el cual te diremos qué es, los métodos más utilizados y la forma en que puedes protegerte ante los intentos de este tipo de ataques.
¿Qué es un ataque de ingeniería social y cuál es su intención?
Se conoce como Ingeniería Social maliciosa a un método de acción criminal, que consiste en engañar o manipular psicológicamente a una persona, para lograr que ésta haga las cosas según lo quiere el perpetrador, lo cual puede tener diversos fines. Cuando trasladamos esto al contexto de la Seguridad Informática, debe quedar claro que una acción de Ingeniería Social negativa es llevada a cabo por cibercriminales, con la intención de engañar a los usuarios.
Para que éstos cedan información delicada que luego será usada para hacer fraude, o acceder de forma ilegal a los equipos de la víctima. Diversos estudios dejan ver que esta modalidad de ataque suele alcanzar un alto grado de efectividad, dado que los ciberdelincuentes ponen la mira en el eslabón más débil de la cadena de seguridad de la infraestructura tecnológica, que no es otro que el usuario.
Para llevarlo a cabo de manera exitosa, el atacante suele hacer un seguimiento para conocer la rutina de la posible víctima, tomando nota de cada movimiento y luego estableciendo contacto para entrar en confianza, y seguidamente echar a andar un juego de manipulación que lo llevará a obtener tanta información sobre los sistemas como le sea posible. Cada uno de nosotros debe prestar atención para no ser víctima de un ataque, ya que abundan los casos en que los delincuentes han tenido éxito en su implementación.
Subsiguientemente pasan a la etapa de extorsión, fraude y suplantación de identidad mediante el robo de datos. Igualmente, existen muchos testimonios que corroboran daños a empresas de diversa envergadura, todo debido a que algún empleado de rango medio o alto con acceso a información sensible y privilegiada, ha sido manipulado por un ingeniero social para acceder a la misma, luego de lo cual pueden pasar a introducir cualquier tipo de malware en los sistemas de la empresa.
Para completar lo anterior sobre los alcances de un ataque de Ingeniería Social en el ámbito empresarial, debemos decir que muchas acciones de espionaje industrial han tenido éxito mediante este método. Otro de los grupos donde los ciberdelincuentes suelen enfocarse, es en personas que tienen a su cargo la administración de servidores que prestan servicios externos, como en el caso de servidores dedicados, y los administradores de redes de Internet, ya que para ellos son una verdadera mina de donde pueden extraer cualquier cantidad de datos.
¿Cuáles son los distintos tipos de ataques de ingeniería social en informática?
La mayoría de los especialistas en Seguridad Informática coinciden en que cada ataque por Ingeniería Social se puede decir que es sui géneris, dado que al basarse en la interacción humana implica reconocer que cada persona es única y no todas son manipulables de la misma manera. Sin embargo, algo que sí se puede tipificar son los diversos métodos o técnicas utilizadas para llevar a cabo el ataque.
Es por eso que deberás prestar atención a algunos de ellos, como los que te mostramos a continuación:
Phishing
Los correos electrónicos han pasado a ser un elemento indispensable en el arsenal de los ingenieros sociales, ya que a pesar de innumerables advertencias hechas a los usuarios en relación a esto, siempre puede haber alguien que pique el anzuelo. En sí se trata del envío de correos electrónicos masivos o individuales, en los que el atacante se hace pasar por alguien diferente a él, persiguiendo siempre la finalidad de engañar al destinatario, para hacerlo ejecutar acciones que van desde el inicio de sesión en una página infectada de malware.
La efectividad del método, que es increíblemente alta, se basa en la habilidad del atacante, ya que éste debe hacer que el mensaje sea lo más parecido posible a algún remitente con el que el destinatario tenga establecidas relaciones de confianza. Cuando un atacante de Ingeniería Social por medio de Phishing fija como blanco alguna corporación importante, por lo regular invierte tiempo en el seguimiento y la elaboración del mensaje que ha de enviar al usuario seleccionado, que a menudo es alguien que ocupa una posición clave en la organización.
Lo anterior trae a colación lo que se conoce como fraude de correo electrónico de CEO, que es cuando los delincuentes han logrado explotar alguna vulnerabilidad o infección en la cuenta de email de un alto ejecutivo, y sólo esperan el momento oportuno para hacerse pasar por él y girar órdenes a los subalternos por esa vía, por lo regular hacer transferencias a cuentas bancarias de los atacantes.
Vishing
Esta metodología podemos decir que es una de las formas clásicas de realizar un ataque de Ingeniería Social, ya que desde hace muchos años es usada por los atacantes para manipular a las personas y sacarles información sobre sus tarjetas de crédito, cuentas bancarias y otros datos.
El delincuente lo lleva a cabo por dos vías principales, pero siempre con el teléfono como herramienta para conseguir sus fines, realizando llamadas aleatorias, o previamente planificadas, haciéndose pasar por encuestadores o funcionarios de alguna institución bancaria.
Baiting
Por regla general somos muy proclives a la curiosidad. Eso lo saben bien los atacantes, por lo que en ocasiones se valen de esta fórmula casi infalible para infectar equipos de computación. Para lograrlo, suelen valerse de dispositivos de almacenamiento de información extraíbles, por ejemplo un pendrive.
Los cuales dejan en lugares que reciben muchas visitas, e incluso en algún escritorio de una empresa que hayan visitado. Por supuesto, el dispositivo ha sido previamente envenenado con algún programa malicioso, y una vez el usuario lo introduce en su ordenador inocentemente descargará dicho software, abriendo un acceso al hacker para que este robe todo tipo de información.
Quid pro quo
Más en Seguridad informática
- ¿Cuáles son las diferencias entre Phishing y Phishing Card y conocer estos tipos de suplantación?
- ¿Cuáles son todos los usos y técnicas que se le pueden dar al sistema OSINT para recopilación de información? Lista 2024
- ¿Cuáles son los mejores antivirus gratuitos para instalar en Linux? Lista 2024
- ¿Cómo activar la verificación en dos pasos de tu cuenta de Microsoft y mejorar la seguridad al iniciar sesión? Guía paso a paso
- ¿Cómo bloquear un móvil robado por IMEI de cualquier compañía telefónica? Guía paso a paso
SÍGUENOS EN 👉 YOUTUBE TV
En este caso el atacante ciertamente necesita estar de suerte, ya que por lo general el método implica hacer llamadas aleatorias a las empresas haciéndose pasar por alguien de un servicio de asistencia técnica, ofreciéndose para resolver algún problema en dicha área.
Si llegase a acertar, lo siguiente es convencer a su interlocutor a que le facilite una serie de datos para llegar mejor informado a la empresa. Esto último jamás ocurrirá, pero es posible que quien le atendió le haya proporcionado material suficiente para intentar llevar adelante un ataque.
Redes sociales
Como usuarios de redes sociales, todos nos hemos topado alguna vez con mensajes emergentes que nos ofrecen algunos productos o servicios de forma gratuita, y para acceder a ellos nos hacen ver que es necesario visitar algún sitio web. Pues bien, en muchos casos una vez visitamos el mencionado sitio comienzan a solicitarnos información que a simple vista parece inofensiva, pero en el fondo lo que están haciendo es explotar la buena fe de los usuarios con fines maliciosos.
Aprende cómo protegerte de los ataques de ingeniería social para mantener tu información segura
Como ya has podido ver y entender, la presencia del factor humano, sobre todo a nivel empresarial, puede hacer difícil, aunque no imposible, tener todo controlado para evitar un ataque de Ingeniería Social. Sin embargo, tampoco se trata de resignarse a estar expuesto a sufrir en algún momento uno de estos ataques.
Para ayudarte, a continuación te damos algunos consejos, que estamos seguros te ayudarán a aumentar los niveles de seguridad en tu organización:
Procura una buena selección del talento humano
De nada nos vale proteger las vulnerabilidades presentes en la superficie de ataque de nuestro sistema, si no acompañamos esto con asegurarnos en lo posible de contar con personal idóneo en cuanto a su integridad personal. Para eso será necesario emplearse a fondo en la tarea de hacer el mejor seguimiento a la huella digital de los candidatos, sobre todo cuando éstos aspiren a ocupar un puesto clave en el organigrama.
Sabemos que no es un método infalible, pero siempre está la posibilidad de encontrar algún dato interesante en cuanto a los antecedentes y costumbres sociales de cada candidato, lo que ayuda a saber si son personas propensas a chantajes. Además, nunca pierdas de vista que en muchas ocasiones los ataques de Ingeniería Social son llevados a cabo con la complicidad de algún empleado de manera consciente.
Establece procedimientos de clasificación de datos
Esto implica mantener un seguimiento constante de cada información sobre la empresa que hayas colgado de manera pública en Internet, ya que suele ser uno de los canales utilizados por los ingenieros sociales para estudiar a sus víctimas.
Adicionalmente, debes asegurarte de establecer de forma inequívoca a qué tipo de información pueden acceder tus empleados, por supuesto tomando en cuenta el nivel de cada uno dentro de la organización. Es algo muy efectivo, ya que mientras de menos información disponga una persona, en ese mismo grado puede proporcionar la misma a terceros voluntaria o involuntariamente.
Implementa un sistema de seguridad física
Además de la instalación de cámaras en la mayor cantidad de sitios posible dentro de las instalaciones, debes establecer áreas de acceso restringido para que el personal solo transite por donde le es permitido. En el mismo sentido, es aconsejable tomar medidas adecuadas para que tus proveedores sepan hasta dónde pueden transitar dentro de las instalaciones.
No olvides que tomar precauciones personales
Son muchos los casos en que los responsables, o inclusive dueños de empresas, se esmeran en llevar adelante una adecuada concienciación de seguridad del personal a su cargo, y a la vez que se olvidan que ellos mismos forman parte del famoso eslabón de debilidad.
En atención a eso, debemos recordarte que tú también estás obligado a tomar las debidas precauciones de seguridad desde tu posición. Cuestiones como no abrir correos electrónicos sospechosos, bloquear el ordenador cuando no lo estés usando o no atender ofertas hechas por extraños, son cuestiones que debes interiorizar muy bien.
Ya que te ayudarán a mantener un adecuado nivel de seguridad en tus datos corporativos o personales. Y nunca olvides que, como ya hemos dicho al principio, la información es la mejor defensa contra los ataques de Ingeniería Social, por lo que te invitamos a asistir a mayor cantidad de eventos dedicados al tema que tu tiempo te permita, invitando a tus empleados de confianza a hacer lo mismo en la misma medida.
