¿Qué es la ingeniería social?

0

Hoy en día, el campo de la ciberseguridad, hablamos mucho de la Ingeniería Social y su amplio uso de los delincuentes para atacarnos pero, ¿qué es la ingeniería social?

Podríamos decir que es la práctica que busca obtener información y datos asociados a nuestra persona, utilizando para ello la manipulación del individuo. Esta técnica suelen emplearla diferentes agentes con intereses particulares: ciberdelincuentes, investigadores privados, gobiernos, grupos terroristas (últimamente), etc.

INGENIERÍA SOCIAL

Todos ellos tienen algo en común: un cierto grado de conocimiento sobre las pautas de comportamiento, gustos, sitios frecuentados y otros intereses del individuo, que finalmente les permitirán conectar con él y atraer su atención por afinidad.

El objetivo de la Ingeniería Social

El objetivo puede variar dependiendo del grupo que ejecute acciones de Ingeniería Social, pero hablamos siempre de la obtención de información confidencial de las personas, que después les facilite llegar a su fin último.

Pautas en la ingeniería social

La ingeniería social sigue el principio de que “el usuario es un eslabón sin fuerza”, es manipulable en tanto se contacte con él de la forma individualmente apropiada.

Por ejemplo, es común que nos contacten por teléfono para engañarnos, fingiendo ser empleados del banco, la compañía de teléfono/internet, incluso un supuesto técnico (ha habido suplantaciones de identidad sobre técnicos de Microsoft) o alguna compañía grande.

Si nos contactan por Internet, es frecuente que sea a través del email –para solicitarnos renovar datos sobre cuenta, revisar actividad de la misma o aprobar alguna acción- y en este caso hablamos de dos vectores:

  1. Enlaces adjuntos que llevan a páginas web manipuladas y que, casi siempre, despliegan un exploit para aprovechar sistemas no parcheados e infectarnos.
  2. Archivos adjuntos que, una vez descargados y/o ejecutados, soltarán una carga dañina sobre el sistema.

La gente confía por naturaleza, siempre que se cuiden en cierto modo las formas –cada vez más sofisticadas por parte de los atacantes- y tienden a ceder sus datos sin pensarlo demasiado.

Ingeniería social y Phishing van de la mano

El phishing consiste en engañar a un público determinado con una muestra de contenido especialmente diseñada para ese público y que, por tanto, asegura un gran porcentaje de apertura.

Así, tenemos que uno de los casos de Phishing más eficaces (para los que se usan los métodos anteriormente mencionados) podría venir de un individuo que se haga pasar por un administrador de sistemas de una compañía, solicitando a algunos empleados sus credenciales con el objetivo de realizar alguna configuración o comprobar datos.

Mediante email, también se anima en ocasiones al usuario a ceder datos de cuenta o tarjeta bancaria, con la supuesta idea de confirmar datos o renovar algún servicio.

Recuerda siempre

  • Los emails no solicitados tienen muchas papeletas para ser ciberataques.
  • Un administrador de sistemas nunca* necesitará pedirte la contraseña de tu equipo o correo.
  • No abras adjuntos en emails, como norma.
  • Tu banco, compañía de teléfono y similares nunca deberían pedirte que inicies sesión a través de un enlace adjunto a un email.
  • ¡Y ten siempre una solución antivirus a mano y actulizada!
Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR