Ingenieria Social, que es y por qué es tan aterradora
Qué es la ingenieria social

La ingeniería social es un tipo de ataque que se basa principalmente en técnicas de interacción con seres humanos, en lugar de un ataque técnico a computadoras.

De igual manera se puede definir como una manipulación técnica, con la intención de explotar el error humano.

Qué es la ingenieria social
Qué es la ingenieria social

¿Cuál es la finalidad de la ingeniería social?

La finalidad es la misma que cualquier ciberataque: comprometer datos confidenciales o información privada de una persona o grupo de personas, incluyendo empresas.

Puedes tener la infraestructura más fuerte contra la infección de malware pero, si un atacante logra engañar a un usuario admin para que entregue sus credenciales, habrá burlado toda la seguridad que existía.

Es importante invertir en la preparación contra este tipo de ataques, porque en muchas ocasiones son difíciles de detectar, ya que vienen ocultos como páginas web similares a las que se usan en las empresas, con destinatarios de banco e incluso diciendo que son facturas o de clientes.

metodos de ataque mas populares
metodos de ataque mas populares
Ver todos más de ingeniería social

Ejemplo de ingeniería social: Te amo

En el año 2000, Onel De Guzmán hizo el malware llamado “LoveLetter” o carta de amor en español. 

Muchos usuarios recibieron un correo con el asunto “Te amo”. Cada correo tenía un archivo adjunto que se llamaba “Carta de amor para ti”.

Cuando se abría el archivo adjunto, se instalaba un software malicioso que escaneaba las direcciones del usuario y enviaba este correo automáticamente a todas las personas de su lista.

Este malware también instalaba un programa para recopilar la información del usuario junto a sus contraseñas.

¿En dónde está el ataque de ingeniería social? La respuesta se encuentra en el método utilizado para que las personas abrieran este correo, pues cada una de ellas pensaba que recibían un correo auténtico de una persona conocida, como un familiar o amigo. 

Tipos de Ingeniería Social que existen y su explicación

Quizás el ataque más conocido de este tipo es el Phishing o suplantación de identidad. Se llama así porque se envía un correo malicioso a su víctima haciéndose pasar por un correo auténtico.

Es decir, te puede llegar un correo en el cual mencionan que tu cuenta bancaria intentó ser hackeada, por lo que necesitas entrar al link en el correo para revisar el dispositivo que llegó. Lo que no sabes, es que ese link te lleva a una página web similar a la del banco en donde te pide tu usuario y contraseña, mientras que el atacante registra lo que has escrito.

  • El spear phishing es otra variante similar, pero esta apunta a personas o incluso grupo de personas en concreto, ya que vienen de alguna manera “personalizados”, pues contienen información personal o el de familiares.
  • Otro tipo es el spoofing o falsificación es cuando un origen intenta hacerse pasar por otra cosa distinta o incluso por otro remitente. Esto ocurre, por ejemplo, cuando te llega un correo electrónico pero crees que viene de tu mejor amigo. El nombre trae el correo electrónico de un amigo, pero omites que el correo en realidad viene de una página dudosa. 

    Hablando del problema, es que tú confías en el correo y das clic en el enlace que te manda tu supuesto amigo diciendo: “Tienes que ver este vídeo divertido” y sin quererlo, instalaste un malware.
  • El Ataque de agujero de agua es un tipo de ataque que se realiza a un sitio web que tiene visitas frecuentes por un grupo de usuarios específicos.
  • El Cebo USB (Baiting) es una USB que está infectada por un malware, pero se deja en un lugar específico para que una persona la encuentre, se la lleve y se infecte su computadora.

    También existe la Ingeniería social física, en donde un atacante se hace pasar por una persona vinculada a la empresa para conseguir un acceso no autorizado a una ubicación física, lo cual veremos a continuación.
  • El Whaling tendrá por objetivo el realizar una suplantación de identidad (Phishing) a directivos de una empresa o personas que tengan un alto riesgo dentro de la organización. Es obvio que aquí los métodos serán más complejos e intentarán ser lo más convincentes posibles.
  • Los Compromiso del correo electrónico empresarial (BEC) son un tipo de ataque de ingeniería social a personas en concreto dentro de una empresa. Se diferencia de los demás ataques por que aquí no se pide descargar un software, sino que se realice una acción, por lo regular, la transferencia de dinero.

¿La ingeniería social solo se lleva a cabo digitalmente?

Lamentablemente la respuesta es no, pues un ataque de este tipo también puede utilizar el contacto físico de cierta manera.

A esto se le conoce como Baiting, y no es más que un cebo o trampa en el mundo real para que alguien se infecte con un malware o se le pueda robar su información.

Imagina que alguien deja una memoria USB en la biblioteca de la escuela, entonces llegas, la encuentras pero en lugar de intentar buscar su dueño (que nunca lo vas a encontrar), te gana la curiosidad y decides conectarla a tu computadora para ver que tiene adentro. ¡Sorpresa! Ahora estás infectado de un malware que roba toda tu información.

Otro tipo de este ataque es el llamado ingreso de acompañantes sin autorización o en inglés Tailgating, el cual consiste en lograr acceder a un área restringida de empresa u organización haciéndote pasar por un empleado con autorización, como personal de mantenimiento o incluso de limpieza.

La idea principal es que todos los empleados reales te den acceso mediante el uso de tácticas de ingeniería social o incluso se puede realizar una falsificación falsa para acceder a un lugar restringido.

¿Cuáles son los fundamentos de la ingeniería social?

Debemos comprender que la ingeniería social es eficaz porque conlleva ciertos principios o métodos que utiliza para lograr sus objetivos, las cuáles son:

  • Los atacantes muestran Autoridad: Como lo has visto en las películas, si un atacante logra pasar por un superior con autoridad, como un gerente, supervisor, etc. Puede lograr que los demás obedezcan sus órdenes.
  • También se suele utilizar la intimidación, pues a través de ello, del hostigamiento, etc. Son capaces de lograr que la otra persona haga lo que les pida.
  • La aprobación social, esto se refiere a la capacidad de manipulación de que las personas hacen cosas convencidas de que otras personas también las hacen. Por ejemplo, un atacante le puede decirle al empleado de la entrada que le de acceso sin una credencial por que los demás guardias lo han hecho otras veces.
  • La Urgencia y la Escasez es la idea de apresurar a otra persona para realizar una actividad porque se va a “terminar” el beneficio si no lo hacen en ese momento o porque es sumamente urgente que tome una decisión sin pensar más tiempo.
  • Las Familiaridad y Confianza son utilizadas cuando el atacante logra ganar la confianza de una persona para que le de sus credenciales, así como la familiaridad, es decir, mediante la creación de vínculos emocionales.

Fin del post

Artículos relacionados

support 0utlook

OutlookIniciar sesión Para continuar a Outlook  ¿No tienes cuenta? ¡Crea una!

¿Qué es un ataque de red?

¿Qué es un ataque de red?

Un ataque de red son todos aquellos ataques maliciosos que intentan robar nuestra información mediante los dispositivos en una red.