Definición: La ingeniería social es la práctica ilegítima de obtener información confidencial a través de la manipulación de usuarios legítimos.
Esta práctica ha venido desarrollándose desde hace muchísimos años, y en estos últimos años ha tomado un rumbo diferente, dirigida más que todo a medios digitales, siendo desarrollada y aplicad por estafadores para hacer caer sus víctimas.
Por ejemplo, los cibercriminales usan los medios de comunicación entre personas para que el usuario comparta información confidencial. Ya que la ingeniería social se basa en la naturaleza humana y las reacciones humanas, hay muchas formas en que los atacantes pueden engañar, en línea o sin conexión.
Algunos Ejemplos:
- Víctima o Carnada
Un dispositivo, como una memoria USB, infectado con software malicioso a la vista en un espacio público. Alguien recogerá ese dispositivo y lo conectará a su equipo para ver qué contiene. En ese momento, el software malicioso se introducirá en el equipo.
- Ataque cara a cara
El método más eficiente, pero a la vez el más difícil de realizar. El perpetrador requiere tener una gran habilidad social y extensos conocimientos para poder manejar adecuadamente cualquier situación que se le presente. Las personas más susceptibles suelen ser las más “inocentes”, por lo que no es un gran reto para el atacante cumplir su objetivo si elige bien a su víctima.
- Phishing (correo electrónico)
Es una técnica utilizada por ciberdelincuentes para obtener información personal y bancaria de algunas personas o en especial de algunos clientes pertenecientes a ciertas empresas.
- Correo electrónico, envío y/o reenvíos así también como spam a contactos
Mucho cuidado al abrir correos electrónicos especialmente de direcciones o personas desconocidas. El objetivo principal de esta acción es difundir software malicioso, engañar a las personas para obtener sus datos personales y más.
- Dumpster Diving o Trashing (zambullida en la basura).
Buscar información relevante en la basura, como: recibos de pagos, agendas telefónicas, organigramas, agendas de trabajo, unidades de almacenamiento (CD’s, USB’s, etc.), entre muchas otras cosas.
- Farming (sitio web)
Es un tipo de cibercrimen muy semejante al phishing, en el que el tráfico de un sitio web es manipulado para permitir el robo de información confidencial.
- Ataque Vishing
Práctica de ingeniería social fraudulenta que consiste en una llamada telefónica en la que se suplanta la identidad de una empresa.
- Quid Pro Quo (‘una cosa por otra’)
Sustitución de una cosa por otra, «algo por algo» o «algo sustituido por otra cosa».
RECOMENDACIONES
- Instalar cortafuegos (bloquear el acceso no autorizado), encriptar datos y tener protocolos precisos detallando el manejo y transferencia de datos.
- Colocar un filtro de pantalla antiespía ya que este impide que otras personas puedan ver el contenido de un dispositivo desde diferentes ángulos.
- De tratarse de una empresa, organizar conferencias y talleres periódicos, organiza y desarrolla pautas que indiquen con detalle cómo protegerse contra los ataques de ingeniería social.
- Piense dos veces antes de hacer clic. Es importante que tus empleados comprendan las consecuencias que conlleva el dar clic a enlaces inseguros.
- No descargues archivos que no reconozcas. Si un archivo es de origen desconocido, entonces es un riesgo.
- Desconfiar de algunas fuentes antes de interactuar con estas. Es necesario determinar si el sitio, mensaje o empresa de origen con la cual vas a interactuar tiene buena reputación y es legítima.
- No acepte ofertas o premios. Si algo que te ofrecen en línea suena demasiado bueno para ser verdad, asume que lo es, evitar dejarte engañar.
Sitios consultados
www.segurilatam.com/-ingenieria-social.jpg
