Contenidos
“La ingeniería social utiliza la influencia y la persuasión para engañar a las personas convenciéndolas de que el ingeniero social es alguien que no es, o mediante la manipulación. Como resultado, el ingeniero social es capaz de aprovecharse de las personas para obtener información con o sin el uso de la tecnología.” – Kevin D. Mitnick – El arte del engaño
Hoy en día, debido al desarrollo de las tecnologías de la información y la comunicación, los métodos para realizar ciberataques cambian y evolucionan constantemente. Un tipo de ataque para obtener información interna y confidencial es la ingeniería social, que se basa en la influencia, la manipulación y las propiedades explotables del factor humano.
En un sentido más amplio, la ingeniería social es una técnica de estafa o de exploración, básicamente el arte de obtener acceso a edificios, sistemas o datos explotando la psicología humana, en lugar de irrumpir o utilizar técnicas de hacking. Sí, la ingeniería social es el arte de manipular a las personas para que entreguen información confidencial. Por tanto, los ingenieros sociales son “hackers de personas”. Si ha visto alguna vez películas de espías como la legendaria serie de James Bond o Ethan Hunt en Misión Imposible, ya ha visto muchos ejemplos.
La ingeniería social es el término utilizado para una amplia gama de actividades maliciosas realizadas a través de las interacciones humanas. Utiliza la manipulación psicológica para engañar a los usuarios a fin de que cometan errores de seguridad o entreguen información sensible.
Los ataques de ingeniería social se producen en uno o varios pasos. En primer lugar, el agresor investiga a la víctima prevista para recopilar la información de fondo necesaria, como los posibles puntos de entrada y los protocolos de seguridad débiles, necesarios para llevar a cabo el ataque. A continuación, el atacante se mueve para ganarse la confianza de la víctima y proporcionar estímulos para las acciones posteriores que rompen las prácticas de seguridad, como revelar información sensible o conceder acceso a recursos críticos.
Lo que hace que la ingeniería social sea especialmente peligrosa es que se basa en el error humano, más que en las vulnerabilidades del software y los sistemas operativos. Los errores cometidos por los usuarios legítimos son mucho menos predecibles, por lo que son más difíciles de identificar y frustrar que una intrusión basada en malware.
Los ataques de ingeniería social tienen muchas formas diferentes y pueden realizarse en cualquier lugar donde haya interacción humana. A continuación se describen las cinco formas más comunes de ataques digitales de ingeniería social.
Los ataques de ingeniería social tienen éxito porque los delincuentes han descubierto cómo utilizar nuestra naturaleza humana en nuestra contra. Los ataques pueden producirse a través de correos electrónicos y mensajes de texto, en persona, por teléfono, en las redes sociales, etc. Alguien que lance un ataque de ingeniería social no pedirá a una sola persona toda la información que necesita. En su lugar, reunirá una gran cantidad de información aparentemente inofensiva de muchas fuentes y la utilizará para parecer legítima.
Cualquier persona que tenga un derecho legítimo a la información nunca debería molestarse con usted cuando se adhiere a las políticas y procedimientos. Si una situación le hace sentirse incómodo, remítase a las políticas y procedimientos establecidos cuando responda.
Aunque hay una serie de políticas universitarias que hay que seguir, en general, nunca debes compartir tu contraseña o introducir tu contraseña para otra persona, dejar tu ordenador sin cerrar y sin vigilancia, permitir que alguien entre en edificios o salas restringidas por llave o acceso Marlok, etc.
Alguien que lance un ataque de ingeniería social a menudo habrá realizado una investigación exhaustiva, recopilando información de varias fuentes para evitar sospechas, y tendrá recursos falsos creados para ayudar a reforzar el ataque.
Aunque esta forma de engaño siempre ha existido, ha evolucionado significativamente con las tecnologías TIC. En este nuevo contexto, las técnicas de ingeniería social en el ámbito de la informática pueden contemplarse desde dos ángulos diferentes:
El creciente uso de las tecnologías de la información ha conducido naturalmente a un aumento del uso de dichas técnicas, así como a su combinación, hasta el punto de que la mayoría de los ciberataques actuales incluyen alguna forma de ingeniería social.
En esta entrada se tratarán algunas de las técnicas más comunes: pretexting, baiting, quid pro quo y tailgating. Los ataques de phishing también se basan en la ingeniería social; este tema se ha tratado en una entrada anterior: Phishing/Spear phishing.
Los ataques quid pro quo son relativamente fáciles de detectar dado el valor asimétrico de la información en comparación con la compensación, que es opuesta para el atacante y la víctima. En estos casos, la mejor contramedida sigue siendo la integridad de la víctima y su capacidad para identificar, ignorar y denunciar.
El acceso a las zonas no públicas debe controlarse mediante políticas de acceso y/o el uso de tecnologías de control de acceso; cuanto más sensible sea la zona, más estricta será la combinación. La obligación de llevar una tarjeta de identificación, la presencia de un vigilante y las puertas reales antirretorno, como los mantos con control de acceso RFID, deberían ser suficientes para disuadir a la mayoría de los atacantes.