Ingeniería social
La ingeniería social es una técnica que implica manipular a las personas para obtener información confidencial y/o persuadirlas a realizar acciones específicas. En el contexto de la ciberseguridad y la protección de datos, la ingeniería social se utiliza con frecuencia para aprovechar la confianza y la falta de conciencia de las personas.
Como funciona:
Los atacantes pueden utilizar diversas tácticas, como hacerse pasar por empleados de soporte técnico, amigos, familiares o incluso compañeros de trabajo.
Pueden contactar a las víctimas por teléfono, correo electrónico o mensajes en redes sociales.
El objetivo es ganarse la confianza de la persona y convencerla de que revele información sensible o realice acciones perjudiciales.
Esta es una técnica utilizada por personas malintencionadas para manipular a otras con el fin de obtener información confidencial, acceso no autorizado a sistemas o realizar acciones que beneficien al atacante. A diferencia de otros métodos más técnicos, la ingeniería social se basa en la manipulación psicológica y la explotación de la confianza para lograr sus objetivos.
Usos de ingeniería social como ataques informáticos
Phishing:
Un atacante envía correos electrónicos simulando ser una fuente confiable, como bancos, empresas o servicios en línea, con el objetivo de engañar a la víctima para que revele información sensible o realice una acción como clic en un link que figura en el email.
Ejemplo: Un correo electrónico que aparenta ser de tu banco te pide que ingreses tu
nombre de usuario y contraseña en un sitio web falso, cuya imagen es exactamente igual al del sitio web real del banco.
Pretexting:
Un atacante crea un pretexto o historia ficticia para obtener información de la víctima. Puede involucrar la creación de una identidad falsa o la simulación de una situación para ganarse la confianza de la persona.
Ejemplo: Un estafador se hace pasar por un representante de servicios técnicos y llama a un empleado de una empresa, afirmando que necesita verificar la información de la cuenta para solucionar un problema.
Ingeniería Social en Redes Sociales:
Los atacantes utilizan información disponible en las redes sociales para personalizar sus intentos de engaño, haciéndolos más convincentes.
Ejemplo: Un atacante estudia los perfiles de redes sociales de una persona y utiliza detalles personales, como nombres de familiares o eventos recientes, para ganarse la confianza y obtener información confidencial.
Ataques de “Baiting” (Cebado):
Se ofrece algo atractivo, como un dispositivo USB gratuito o un enlace a un supuesto archivo interesante, para engañar a las personas y hacer que descarguen malware o revelen información.
Ejemplo: Dejas caer deliberadamente una memoria USB aparentemente olvidada en la cafetería de una empresa. Alguien la recoge, la conecta a su computadora para ver su contenido y así introduce inadvertidamente malware en la red de la empresa.
Quid Pro Quo:
El atacante ofrece algo a cambio de la información deseada, creando una situación de intercambio.
Ejemplo: Un estafador llama a empleados de una empresa ofreciendo actualizaciones gratuitas de software. Para ello, les pide que proporcionen sus credenciales de inicio de sesión como parte del proceso de actualización.
Los ejemplos detallados anteriormente ilustran cómo los atacantes pueden aprovechar la psicología humana y la confianza para obtener acceso no autorizado o información sensible. La concientización y la educación son herramientas fundamentales para mitigar los riesgos asociados con la ingeniería social.
Algunas precauciones para evitar caer en estos fraudes:
Verificación de la fuente: Antes de hacer clic en enlaces o proporcionar cualquier información, se debe verificar la autenticidad de la fuente. No confíar ciegamente en correos electrónicos o mensajes inesperados.
Cuidado con las urgencias: Los atacantes a menudo crean un sentido de urgencia para presionar a las personas a actuar rápidamente. Si algo parece urgente o demasiado bueno para ser verdad, se debe verificar antes de responder.
Autenticación de dos factores (2FA): Habilitar la autenticación de dos factores añade una capa adicional de seguridad a tus cuentas, incluso si tus credenciales son comprometidas.
Mantente alerta y educado sobre estas técnicas para protegerte contra fraudes en línea.