Que es la ingenieria social

Que es la ingenieria social

técnicas de ingeniería social

La ingeniería social es el arte de manipular a las personas para que entreguen información confidencial. El tipo de información que buscan estos delincuentes puede variar, pero cuando se trata de personas, los delincuentes suelen intentar engañarle para que les dé sus contraseñas o información bancaria, o acceder a su ordenador para instalar secretamente software malicioso, que les dará acceso a sus contraseñas e información bancaria, además de darles el control de su ordenador.

Los delincuentes utilizan tácticas de ingeniería social porque suele ser más fácil explotar su inclinación natural a la confianza que descubrir formas de piratear su software.    Por ejemplo, es mucho más fácil engañar a alguien para que te dé su contraseña que intentar hackear su contraseña (a menos que la contraseña sea realmente débil).

La seguridad consiste en saber en quién y en qué confiar. Es importante saber cuándo y cuándo no creer en la palabra de una persona y cuándo la persona con la que te comunicas es quien dice ser. Lo mismo ocurre con las interacciones en línea y el uso de sitios web: ¿cuándo confías en que el sitio web que utilizas es legítimo o es seguro para proporcionar tu información?

ataque por «watering hole» (agujero de agua)

La ingeniería social es un ataque psicológico contra una empresa u organización cuyo objetivo es explotar la tendencia natural de las personas a confiar en los demás. Un atacante de ingeniería social fabrica un pretexto que es familiar para los objetivos, y luego se aprovecha de sus prejuicios cognitivos para adormecerlos con una falsa sensación de seguridad y confianza. En resumen, el atacante asume un alter ego en el que se espera que los objetivos confíen intrínsecamente.

Utilizando esta relación de confianza falsificada, el atacante convence a los objetivos para que divulguen datos sensibles o realicen una acción que normalmente no harían. Algunos datos filtrados, como las credenciales, pueden ser el objetivo final del atacante. Otros datos, como el nombre de un director de departamento, pueden ser un medio para conseguir un fin.

Este último tipo de datos puede parecer trivial, pero ese mismo hecho es digno de mención por dos razones. En primer lugar, como la información no parece importante, es menos probable que los objetivos la guarden de cerca. Por lo tanto, es probable que la revelen de buen grado sin sospechar. En segundo lugar, la ingeniería social es un proceso iterativo. Cada bit de información que un atacante obtiene es información que puede utilizarse para reforzar la aparente legitimidad del pretexto del atacante, lo que a su vez infunde mayor confianza en los objetivos, que entonces son más propensos a divulgar información cada vez más sensible.

ransomw

La ingeniería social se refiere a una amplia gama de ataques que aprovechan la interacción humana y las emociones para manipular al objetivo. Durante el ataque, se engaña a la víctima para que entregue información sensible o comprometa la seguridad.

Un ataque de ingeniería social suele seguir varios pasos. El atacante investiga a la víctima potencial, recopilando información sobre ella y sobre cómo puede utilizarla para saltarse los protocolos de seguridad u obtener información. A continuación, el atacante hace algo para ganarse la confianza del objetivo antes de manipularlo finalmente para que divulgue información sensible o viole las políticas de seguridad.

En esta definición de ingeniería social, un ataque de ingeniería social comienza con el atacante averiguando lo que quiere de una organización o persona. A continuación, estudia el comportamiento o los gustos y disgustos de un objetivo humano para averiguar la mejor manera de explotarlo. A continuación, el hacker ejecutará el ataque, intentando acceder a datos sensibles o a redes o sistemas seguros.

La gente tiende a dar más credibilidad a los que le gustan que a los que no. Para explotar esto, un atacante de ingeniería social puede intentar parecer digno de confianza, atractivo o como alguien que comparte intereses similares.

cómo evitar la ingeniería social

Aunque esta forma de engaño siempre ha existido, ha evolucionado significativamente con las tecnologías de la información y la comunicación. En este nuevo contexto, las técnicas de ingeniería social en TI pueden considerarse desde dos ángulos diferentes:

El creciente uso de las tecnologías de la información ha conducido naturalmente a un aumento del uso de dichas técnicas, así como a su combinación, hasta el punto de que la mayoría de los ciberataques actuales incluyen alguna forma de ingeniería social.

En esta entrada se tratarán algunas de las técnicas más comunes: pretexting, baiting, quid pro quo y tailgating. Los ataques de phishing también se basan en la ingeniería social; este tema se ha tratado en una entrada anterior: Phishing/Spear phishing.

Los ataques quid pro quo son relativamente fáciles de detectar dado el valor asimétrico de la información en comparación con la compensación, que es opuesta para el atacante y la víctima. En estos casos, la mejor contramedida sigue siendo la integridad de la víctima y su capacidad para identificar, ignorar y denunciar.

El acceso a las zonas no públicas debe controlarse mediante políticas de acceso y/o el uso de tecnologías de control de acceso; cuanto más sensible sea la zona, más estricta será la combinación. La obligación de llevar una tarjeta de identificación, la presencia de un vigilante y las puertas reales antirretorno, como los mantos con control de acceso RFID, deberían ser suficientes para disuadir a la mayoría de los atacantes.

Entradas relacionadas

Esta web utiliza cookies propias para su correcto funcionamiento. Al hacer clic en el botón Aceptar, acepta el uso de estas tecnologías y el procesamiento de tus datos para estos propósitos. Más información
Privacidad