¿Qué es la ingeniería social?
Cuando hablamos de ciberseguridad, la mayoría pensamos en defendernos de hackers que utilizan debilidades tecnológicas para atacar las redes de datos. Sin embargo, hay otra manera de colarse en las empresas y redes: se trata de aprovecharse de las debilidades humanas. Esta táctica se conoce con el nombre de «ingeniería social» y consiste en tenderle una trampa a alguien para que divulgue información o conceda acceso a redes de datos.
Dicho en pocas palabras, la ingeniería social es el uso del engaño para manipular a personas de manera que permitan acceder a información y datos o los divulguen.
Los ataques de ingeniería social son especialmente difíciles de contrarrestar porque están específicamente diseñados para aprovechar rasgos humanos como la curiosidad, el respeto por la autoridad y el deseo de ayudar a un amigo. Existen, no obstante, una serie de consejos que pueden ayudarte a detectar estos ataques de ingeniería social..
Para prevenir ser víctima de este tipo de ataques de ingeniería social, sigue los siguientes consejos:
- Si recibes una llamada sospechosa, cuelga y confirma llamando al número oficial de la entidad que dice ser.
- No contestes a correos electrónicos sin contrastar la legitimidad del remitente.
- Ten precaución al seguir enlaces, aunque sean de contactos conocidos.
Verificar la fuente no es tan difícil. Por ejemplo, si se trata de un mensaje de correo electrónico, mira la cabecera y contrástala con mensajes válidos del mismo remitente. Comprueba adónde conducen los enlaces: los hipervínculos fraudulentos son fáciles de detectar con solo deslizar el cursor por encima (pero ,sobre todo, no hagas clic en ellos). Comprueba la ortografía: los bancos cuentan con equipos de personas cualificadas dedicadas a elaborar los comunicados que se envían a los clientes, de manera que un mensaje de correo electrónico con faltas de ortografía clamorosas probablemente sea fraudulento.
Rompe el bucle
La ingeniería social suele depender de una cierta sensación de urgencia. Los atacantes esperan que sus objetivos no reflexionen demasiado sobre lo que está sucediendo. Por eso, el mero hecho de tomarte un momento para pensar puede desalentar estos ataques y demostrar exactamente lo que son: timos.
Telefonea al número oficial o visita la URL oficial, en lugar de facilitar tus datos por teléfono o hacer clic en un enlace. Utiliza un método de comunicación distinto para comprobar la credibilidad de la fuente. Por ejemplo, si recibes un correo electrónico de un amigo solicitándote que le envíes dinero por transferencia, mándale un mensaje al móvil o llámalo para comprobar que realmente se trata de él.
Tipos de ataques de ingeniería social
Existen varios tipos de ataques de ingeniería social. Por este motivo, es importante entender bien la definición de ingeniería social, además de cómo funciona. Una vez comprendido el modus operandi básico, resulta mucho más fácil detectar ataques de ingeniería social.
Baiting o «anzuelo»
El baiting consiste en tender una trampa, como puede ser dejar al alcance una memoria USB cargada con malware. Si la recoge alguien que siente curiosidad por saber lo que contiene y la conecta a su unidad USB, su sistema quedará infectado.
Pretextos
Este ataque utiliza un pretexto para captar la atención y hacer que la víctima pique el anzuelo y proporcione información. Por ejemplo, una encuesta en Internet puede antojarse inofensiva a primera vista y luego solicitar los datos bancarios. O puede presentarse alguien con un portapapeles y anunciarte que están realizando una auditoría de los sistemas internos, pero tal vez esa persona no sea quien dice ser y te sustraiga información valiosa.
Phishing
Los ataques de phishing consisten en enviar un mensaje de correo electrónico o de texto que finge ser de una fuente fiable y en el cual se solicita información. Una variante muy conocida de este tipo de ataques son los mensajes de correo electrónico que fingen proceder de un banco y solicitan a sus clientes que «confirmen» su información de seguridad, cuando, en realidad, lo que hacen es redirigirlos a una página web fraudulenta donde se registran sus credenciales de inicio de sesión. El «spear phising» pone la diana en una única persona de una empresa, a quien supuestamente un ejecutivo de rango superior le envía un mensaje de correo electrónico en el que le solicita información confidencial.
Vishing y smishing
Estos tipos de ataque de ingeniería social son variantes del phishing; el «vishing» o «voice fishing» consiste, simplemente, en llamar por teléfono a alguien y solicitarle datos. El delincuente puede hacerse pasar por un colega del trabajo; por ejemplo, puede fingir ser del departamento de informática y solicitar la información de inicio de sesión. Por su parte, el smishing utiliza mensajes SMS para intentar obtener esta información.
Quid pro quo
Dicen que «un intercambio justo no es un robo», pero, en este caso, sí que lo es. Muchos ataques de ingeniería social convencen a las víctimas de que obtendrán algo a cambio de los datos o el acceso que proporcionan. El scareware funciona de esta manera y promete a los usuarios de ordenadores una actualización para lidiar con un problema de seguridad urgente cuando, en realidad, es el propio scareware lo que representa esa amenaza maliciosa a la seguridad.
Spam a contactos y hackeo del correo electrónico
Este tipo de ataque comporta hackear las cuentas de correo electrónico o redes sociales de una persona para acceder a sus contactos. A continuación, se les comunica a los contactos que la persona ha sufrido un robo o ha perdido todas sus tarjetas de crédito y se les solicita que transfieran dinero a una cuenta. Otra táctica es que un supuesto «amigo» te envíe un «vídeo que no puedes perderte» que incluya malware o un troyano keylogger.
Diferencia entre farming y hunting
Por último, cabe tener presente que algunos ataques de ingeniería social son mucho más sofisticados. La mayoría de los planteamientos sencillos que hemos descrito son una forma de «hunting». Básicamente, se trata de entrar, hacerse con la información y largarse.
No obstante, algunos tipos de ataques de ingeniería social implican entablar una relación con la persona objetivo para extraerle información en el transcurso de un período más dilatado. Esta táctica se conoce como «farming» y es más arriesgada para el atacante, porque tiene más probabilidades de ser descubierto. Sin embargo, si la infiltración es fructífera, puede sustraer mucha más información
No tengas prisa
Recela sobre todo si en la conversación se respira una sensación de apremio. Los malhechores suelen recurrir a esta táctica para impedir que sus víctimas reflexionen. Si te notas presionado, frena. Di que necesitas tiempo para obtener toda la información, que tienes que consultarlo con tu superior, que no tienes los datos exactos a mano en ese momento…. lo que sea para concederte tiempo para pensar.
La mayoría de las veces, los ingenieros sociales no tientan a la suerte si se dan cuenta de que han perdido la ventaja del factor sorpresa.
Fuentes: karspesky