Alguna vez hemos escuchado el término Ingeniería Social o Ingeniero Social en alguna película, serie, video, etc. Normalmente lo podemos visualizar como alguien que tiene la capacidad de poder obtener la información que quiere empleando diversas técnicas las cuales aplica para lograr su cometido o simplemente lo hemos pasado por alto y ese término queda como unas simples palabras más.
Pero ¿Qué es la Ingeniería Social a todo esto?
La Ingeniería Social es el acto de manipular a una persona a través de técnicas psicológicas y habilidades sociales para cumplir metas específicas. Estas contemplan entre otras cosas: la obtención de información, el acceso a un sistema o la ejecución de una actividad más elaborada (como el robo de un activo), pudiendo ser o no del interés de la persona objetivo.
Todo esto se sustenta en un sencillo principio: "El factor humano es el eslabón más débil". Podemos escuchar noticias de robos de información, hackeos de cuentas de correo o sociales, etc. y nos llegamos a preguntar ¿Cómo es que puede suceder todo esto? ¿Acaso no son tan seguros los sistemas y aplicaciones de las empresas?, claro que lo son, pero todas estas fugas de información, todas estas vulnerabilidades que se dan, son debidos al factor humano.
A menudo, se escucha entre los expertos de seguridad que la única computadora segura es la que esté desenchufada, a lo que, los amantes de la Ingeniería Social suelen responder que siempre habrá oportunidad de convencer a alguien de enchufarla.
La Ingeniería Social es un arte que no todas las personas pueden llegar a realizar, ya que se requieren de "habilidades sociales" que les permitan poder cumplir sus objetivos. Hay personas que han desarrollado muy bien estas técnicas desde pequeños y la han usado para cometer acciones maliciosas. Por ejemplo, hay crackers que en vez de perder horas rompiendo una contraseña, prefieren conseguirla preguntando por teléfono a un empleado de soporte técnico.
¿Qué tipos de Ataques existen usando la Ingeniería Social?
Los ataques usando Ingeniería Social cada vez son más sofisticados y realistas, si nos ponemos a pensar un poco en algunos de los ataques que existen podemos ver que algunos no tienen mucha lógica para caer, sin embargo, como se mencionó anteriormente el ser humano es el eslabón más débil de la seguridad.
Ahora veamos algunos de los ataques que suelen utilizar los Ingenieros Sociales para cumplir sus objetivos:
Phishing
Sin duda alguna todos hemos escuchado sobre el phishing o hemos recibido correos en el cual nos mencionan que un Árabe millonario nos ha dejado su fortuna. Este es una técnica en el cual un atacante emplea diversos métodos como correo, SMS, anuncios falsos, etc. para que el usuario proporcione información confidencial como tarjetas de crédito, contraseñas, nombres de usuario.
El phishing es la forma más sencilla de ciberataque y, al mismo tiempo, la más peligrosa y efectiva.
Dentro del phishing existen diferentes ataques que son empleados para obtener su cometido, algunos de estos son:
Spear phishing
Phishing de clonación
419/Estafas nigerianas
Phishing telefónico
Hacking de Correo electrónico y envió de Spam a contactos
Confiar en los correos o mensajes de nuestros familiares y amigos es algo natural que hacemos todos los días. Si una persona cercana nos pide que revisemos un documento o que accedamos a un link que nos ha proporcionado sin duda alguna podemos llegar a hacerlo. Es por ello que los atacantes una vez que obtuvieron acceso a una cuenta y obtienen todos los contactos de esta, empiezan a mandar spam a todos, ya que así podrían expandir el software malicioso haciendo que las demás personas también se vean comprometidas exponiendo sus datos.
Pretexto
Un pretexto es una historia elaborada que inventa el cibercriminal a fin de crear una situación en la cual atrapar a sus víctimas. A veces por ejemplo, es una historia trágica de una persona varada en el exterior y que necesita apoyo económico para solventar los gastos de traslado. Estos tipos de situaciones apelan a la tendencia de las personas a ayudar a quienes lo necesitan. Los pretextos normalmente se usan en combinación con varios de los otros métodos, debido a que la mayoría de las situaciones requieren alguna historia para atraer la atención del objetivo o que el atacante se haga pasar por otra persona en una llamada telefónica.
Quid quo Pro
Una cosa por otra. En este tipo de estafa se tienta a los usuarios con ganar algo, como premios o descuentos en productos costosos, pero solo una vez que hayan completado un formulario en el cual se solicita una gran cantidad de información personal. Todos los datos recopilados se usan para el robo de identidad.
Vhising
El vishing es el que involucra mayor interacción humana. El criminal llama al empleado de una empresa y se hace pasar por una persona de confianza o por un representante de su banco o de otra empresa con la cual tiene negocios. Luego, intenta obtener información del objetivo haciéndose pasar por un compañero que perdió su contraseña (y le pide al empleado la suya) o haciéndole una serie de preguntas para verificar su identidad.
La ingeniería social puede realizarse de dos formas: con un solo ataque, como un correo electrónico de phishing; o de forma más compleja, normalmente dirigida a instituciones. Estos dos métodos se conocen como hunting y farming.
Después de ver todo esto ¿Cómo es que podemos protegernos para no ser víctima de Ingeniería Social?
La mejor manera de enfrentar el problema, es concientizar a las personas al respecto. Educarnos sobre seguridad y fomentar la adopción de medidas preventivas ante estos tipos de ataque. Otros mecanismos sugeridos son:
No abrir correos electrónicos de remitentes que no identifiquemos.
No hacer clic en un enlace dentro de un correo electrónico a menos que sepamos exactamente a dónde nos lleva.
Para aplicar esa capa de protección, si recibimos un correo electrónico de una fuente de que la que no estemos seguros, solo hay que navegar manualmente hasta el enlace proporcionado escribiendo la dirección legítima del sitio web en su navegador.
Busquemos el certificado digital del sitio web.
Si se le pide que proporcione información confidencial, compruebe que la URL de la página comienza con “HTTPS” en lugar de simplemente “HTTP”. La “S” significa “seguro”. No es una garantía de que un sitio sea legítimo, pero la mayoría de los sitios legítimos utilizan HTTPS porque es más seguro. Los sitios HTTP, incluso los legítimos, son vulnerables para los hackers.
Si sospecha que un correo electrónico no es legítimo, seleccione un nombre o parte del texto del mensaje y llévelo a un motor de búsqueda para ver si existe algún ataque de phishing conocido que utiliza los mismos métodos.
Pase el cursor del ratón por encima del enlace para ver si es legítimo.
Por el momento esto fue una introducción de lo que es el phishing y algunos tipos de ataques, próximamente estaremos abordando este tema más a profundidad, ya que es uno de las técnicas que más les funciona a los ciberdelincuentes.
Comments