Índice del contenido[Esconder][Espectáculo]
Aunque la mayoría de los ciberdelincuentes son hábiles manipuladores, esto no significa que siempre sean hábiles manipuladores tecnológicos; otros ciberdelincuentes prefieren la práctica de manipular a las personas.
En otras palabras, adoptan la ingeniería social, que es la práctica de lanzar un ciberataque aprovechando los defectos de la naturaleza humana.
En un caso sencillo de ingeniería social, esto podría suceder si un ciberdelincuente se hace pasar por un experto en TI y solicita sus datos de inicio de sesión para solucionar un problema de seguridad en su sistema.
Si proporciona la información, acaba de otorgar acceso a su cuenta a una mala persona sin que tenga que preocuparse por acceder a su correo electrónico o computadora.
En toda cadena de seguridad, casi siempre somos el eslabón más débil, ya que somos susceptibles a una variedad de engaños. Las técnicas de ingeniería social aprovechan esta vulnerabilidad en las personas para engañar a las víctimas para que divulguen información privada.
La ingeniería social siempre está evolucionando, al igual que la mayoría de las ciberamenazas.
En este artículo, analizaremos el estado actual de la ingeniería social, los diferentes tipos de ataques a los que hay que estar atentos y las señales de advertencia a las que hay que estar atentos.
Comencemos la introducción a la ingeniería social.
¿Qué es ingeniería social?
La ingeniería social en informática se refiere a las técnicas que emplean los ciberdelincuentes para persuadir a las víctimas de realizar una acción dudosa, que con frecuencia implica una violación de la seguridad, la transmisión de dinero o la divulgación de información personal.
Estas actividades con frecuencia desafían la lógica y van en contra de nuestro buen juicio.
Sin embargo, los estafadores pueden convencernos de que dejemos de pensar de manera lógica y comencemos a actuar por instinto sin pensar en lo que realmente estamos haciendo al manipular nuestras emociones, tanto positivas como negativas, como la ira, el miedo y el amor.
En términos simples, la ingeniería social es la forma en que los piratas informáticos comprometen nuestros cerebros, tal como lo hacen con el malware y los virus para comprometer nuestras máquinas.
Los atacantes utilizan con frecuencia la ingeniería social porque con frecuencia es más sencillo aprovecharse de las personas que identificar una red o una debilidad del software.
Debido a que los delincuentes y sus víctimas nunca tienen que interactuar en persona, la ingeniería social siempre es un componente de una estafa más amplia.
Conseguir que las víctimas: es generalmente el objetivo principal:
- Software malicioso en su teléfono inteligente.
- Renuncia a tu nombre de usuario y contraseña.
- Otorgue permiso para un complemento, una extensión o una aplicación de terceros maliciosos.
- Envíe dinero mediante giro postal, transferencia electrónica de fondos o tarjetas de regalo.
- Juega el papel de una mula de dinero para transmitir y lavar dinero ilegal.
Los delincuentes utilizan técnicas de ingeniería social porque con frecuencia es más sencillo aprovechar su tendencia inherente a confiar en los demás que descubrir cómo piratear su programa.
Por ejemplo, a menos que la contraseña sea realmente débil, es considerablemente más sencillo engañar a alguien para que le diga su contraseña que intentar piratearla.
¿Cómo funciona la ingeniería social?
Los ingenieros sociales llevan a cabo ataques cibernéticos utilizando una variedad de estrategias. La mayoría de los ataques de ingeniería social comienzan con el atacante realizando un reconocimiento e investigando a la víctima.
Por ejemplo, si el objetivo es una empresa, el pirata informático podría conocer la estructura organizativa de la empresa, los procesos internos, la jerga de la industria, los socios comerciales potenciales y otros detalles.
Centrarse en las acciones y hábitos de los trabajadores con acceso inicial pero de bajo nivel, como un guardia de seguridad o recepcionista, es una estrategia utilizada por los ingenieros sociales.
Los atacantes pueden buscar redes sociales cuentas para obtener información personal y observar su comportamiento tanto en línea como en persona.
A continuación, el ingeniero social puede usar la evidencia recopilada para planificar un asalto y aprovechar las fallas descubiertas durante la etapa de reconocimiento.
Si efectivamente se produce el ataque, el atacante podría obtener sistemas o redes protegidos, dinero de los objetivos o acceso a datos privados como números de seguridad social, detalles de tarjetas de crédito o datos bancarios.
Tipos comunes de ataques de ingeniería social
Aprender sobre las técnicas típicas utilizadas en la ingeniería social es una de las mejores estrategias para defenderse de un ataque de ingeniería social.
Hoy en día, la ingeniería social comúnmente ocurre en línea, incluso a través de estafas en las redes sociales, cuando los atacantes asumen la identidad de una fuente confiable o un funcionario de alto rango para engañar a las víctimas para que revelen información confidencial.
Aquí hay algunos otros ataques de ingeniería social frecuentes:
Phishing
El phishing es una especie de enfoque de ingeniería social en el que las comunicaciones se disfrazan para que parezcan provenir de una fuente confiable.
Estas comunicaciones, que con frecuencia son correos electrónicos, están destinadas a engañar a las víctimas para que revelen información personal o financiera.
Después de todo, ¿por qué deberíamos sospechar de la legitimidad de un correo electrónico de un amigo, familiar o empresa que conocemos? Los estafadores se aprovechan de esta confianza.
Vishing
El vishing es un tipo complejo de ataque de phishing. También se conoce como “phishing de voz”. En estos ataques, con frecuencia se falsifica un número de teléfono para que parezca auténtico: los atacantes pueden hacerse pasar por personal de TI, compañeros de trabajo o banqueros.
Algunos atacantes pueden emplear cambiadores de voz para ocultar aún más sus identidades.
Spear phishing
Las grandes empresas o personas particulares son el objetivo del phishing selectivo, una especie de ataque de ingeniería social. Los objetivos de los ataques de spear phishing son individuos fuertes o pequeños grupos, como líderes empresariales y figuras públicas.
Esta forma de ataque de ingeniería social suele estar bien investigada y engañosamente camuflada, lo que dificulta su detección.
Smishing
Smishing es una especie de ataque de phishing que utiliza mensajes de texto (SMS) como medio de comunicación. Al presentar direcciones URL dañinas para hacer clic o números de teléfono para contactar, estos ataques suelen exigir una acción rápida por parte de sus víctimas.
Con frecuencia se solicita a las víctimas que proporcionen información privada que los atacantes pueden usar en su contra.
Con el fin de persuadir a las víctimas para que actúen con rapidez y caigan en la trampa, los ataques de smishing suelen reflejar una sensación de urgencia.
Scareware
El uso de ingeniería social para aterrorizar a las personas para que instalen software de seguridad falso o accedan a sitios web infectados con malware se conoce como scareware.
El scareware generalmente se manifiesta como ventanas emergentes que ofrecen asistencia para erradicar una supuesta infección de computadora de su computadora portátil. Al hacer clic en la ventana emergente, podría instalar involuntariamente más malware o ser enviado a un sitio web peligroso.
Use un programa confiable de erradicación de virus para escanear su computadora con frecuencia si cree que tiene scareware u otra ventana emergente intrusiva. Es importante para la higiene digital examinar periódicamente su dispositivo en busca de riesgos.
También podría ayudar a proteger su información personal al prevenir futuros ataques de ingeniería social.
Cebo
Los ataques de ingeniería social también pueden comenzar fuera de línea; no necesariamente se lanzan en línea.
Baiting es la práctica en la que un atacante deja un objeto infectado con malware, como una unidad USB, en algún lugar donde es probable que lo descubra. Estos dispositivos se marcan con frecuencia a propósito para despertar el interés.
Un usuario que toma el dispositivo y lo coloca en su propia computadora por curiosidad o codicia corre el riesgo de infectar esa máquina con un virus sin querer.
Ballenero
Uno de los intentos de phishing más atrevidos, con resultados desastrosos, es la caza de ballenas. El objetivo típico de este tipo de ataque de ingeniería social es una sola persona de alto valor.
El término "fraude de CEO" se usa ocasionalmente para describir la caza de ballenas, lo que le da una indicación del objetivo.
Debido a que efectivamente asumen un tono de discurso profesional adecuado y hacen uso del conocimiento interno de la industria en su beneficio, los ataques de caza de ballenas son más difíciles de detectar que otros ataques de phishing.
Pre-mensajes de texto
El pretexto es el proceso de fabricar una circunstancia falsa, o “pretexto”, que los estafadores emplean para engañar a sus víctimas.
Los ataques con pretexto, que pueden ocurrir fuera de línea o en línea, se encuentran entre las técnicas de ingeniería social más exitosas porque los atacantes se esfuerzan mucho para parecer confiables.
Tenga cuidado al revelar información privada a extraños, ya que puede ser difícil detectar el engaño de un pretexto.
Para descartar un intento de ingeniería social, comuníquese directamente con la empresa si alguien lo llama por una necesidad urgente.
Trampa de miel
Una trampa de miel es una especie de enfoque de ingeniería social en el que el agresor seduce a la víctima en un entorno sexual inseguro.
El atacante aprovecha entonces la circunstancia para cometer chantajes o participar en sextorsiones. Al enviar correos electrónicos no deseados con el falso pretexto de que "lo estaban viendo a través de su cámara" o algo igualmente nefasto, los ingenieros sociales con frecuencia colocan trampas de miel.
Si recibe un mensaje como este, asegúrese de que su cámara web esté protegida.
Entonces, mantén la compostura y abstente de responder, ya que estos correos electrónicos no son más que spam.
Quid Pro Quo
Latín significa “algo por algo”, en este caso se refiere a que la víctima recibe una recompensa a cambio de su cooperación.
Una excelente ilustración es cuando los piratas informáticos se hacen pasar por asistentes de TI. Llamarán a tantos empleados como sea posible en una empresa y afirmarán tener una solución simple, y agregarán que "solo necesita desactivar su AV".
Cualquiera que sucumba a él tiene ransomware u otros virus instalados en su computadora.
Pegarse mucho al delantero
Tailgating, también conocido como piggybacking, ocurre cuando un pirata informático sigue a una persona que usa una tarjeta de acceso válida a un edificio seguro.
Para llevar a cabo este ataque, se supone que la persona que tiene permiso para ingresar al edificio sería lo suficientemente considerada como para mantener la puerta abierta para la persona que viene detrás de ellos.
¿Cómo se pueden prevenir los ataques de ingeniería social?
Al usar estas medidas preventivas, usted y su personal tendrán la mejor oportunidad de evitar ataques de ingeniería social.
Educar a los empleados
La causa principal de la falibilidad de los empleados ante los ataques de ingeniería social es la ignorancia. Para enseñar al personal cómo reaccionar ante los intentos típicos de violación, las organizaciones deben ofrecer capacitación en concientización sobre seguridad.
Por ejemplo, qué hacer si alguien intenta seguir a un empleado al lugar de trabajo o le pide información confidencial.
Algunos de los ciberataques más frecuentes se describen en la siguiente lista:
- Los ataques DDoS
- Ataques de phishing
- Ataques de secuestro de clics
- Ataques Ransomware
- Ataques de malware
- Cómo responder al chupar rueda
Comprobar la resistencia a los ataques
Realice ataques controlados de ingeniería social en su empresa para probarla. Envíe correos electrónicos de phishing falsos y reprenda amablemente a los miembros del personal que abran archivos adjuntos, hagan clic en enlaces dañinos o reaccionen.
En lugar de ser percibidos como fallas de seguridad cibernética, estos casos deben verse como situaciones altamente educativas.
Operación Seguridad
OPSEC es un método para detectar comportamiento amistoso que podría ser ventajoso para un futuro atacante. OPSEC puede exponer datos confidenciales o importantes si se procesan adecuadamente y se agrupan con otros datos.
Puede limitar la cantidad de información que los ingenieros sociales pueden obtener utilizando los procedimientos OPSEC.
Encuentre fugas de datos
Saber si las credenciales han quedado expuestas como resultado de un intento de phishing puede ser un desafío.
Su empresa debe buscar constantemente exposiciones de datos y credenciales filtradas porque algunos phishers pueden tardar meses o incluso años en explotar las credenciales que recopilan.
Implementar la autenticación multifactor
Aplique un método de autenticación de múltiples factores que necesita que los usuarios posean un token, conozcan una contraseña y posean sus datos biométricos para poder acceder a recursos críticos.
Implementar un sistema de gestión de riesgos de terceros
Antes de incorporar nuevos proveedores o continuar trabajando con los proveedores actuales, cree un sistema para administrar los riesgos de terceros, una política de administración de proveedores y realice una riesgo de ciberseguridad evaluación.
Particularmente después de que los datos robados se hayan vendido en la dark web, es considerablemente más simple evitar las filtraciones de datos que limpiarlas.
Encuentre software que pueda administrar automáticamente el riesgo de los proveedores y realizar un seguimiento, clasificar y evaluar periódicamente la ciberseguridad de sus proveedores.
Modifique sus preferencias de correo electrónico no deseado.
Cambiar la configuración de su correo electrónico es uno de los métodos más simples para defenderse de los intentos de ingeniería social. Puede mejorar sus filtros de spam para mantener los correos electrónicos fraudulentos de ingeniería social fuera de su bandeja de entrada.
También puede agregar directamente las direcciones de correo electrónico de personas y organizaciones que sabe que son reales a sus listas de contactos digitales: cualquiera que pretenda ser ellos pero que use una dirección diferente en el futuro probablemente sea un ingeniero social.
Conclusión
Finalmente, la ingeniería social es una técnica bastante simple que puede usarse para cometer fraudes, estafas u otros delitos. Puede ocurrirle a cualquiera en persona, por teléfono o en línea.
Los ingenieros sociales no necesitan ser muy técnicos; solo necesitan poder engañarlo para que les dé información privada.
Es una estafa potencialmente desastrosa ya que todos estamos en peligro. Las redes sociales también han permitido que los ingenieros sociales se vuelvan más astutos al permitirles crear cuentas falsas que son fáciles de confundir con las reales o incluso para hacerse pasar por personas reales.
Siempre tenga cuidado al ver perfiles extraños o desconocidos en las redes sociales.
Deje un comentario