¿Qué es la ingeniería social? Así es como podría ser pirateado

noviembre 17, 2020 Aranzulla de Los Pobres

La ingeniería social es un término importante en el mundo de la seguridad, pero es posible que no esté familiarizado exactamente con lo que significa. Si bien es un tema amplio, existen tipos específicos de ingeniería social que podemos examinar para aprender más.

Veamos la ingeniería social como un concepto para que puedas evitar ser víctima de ella.

En el ámbito de la seguridad, la ingeniería social es el acto de manipular a las personas para robarles información privada o hacer que entreguen detalles confidenciales. La ingeniería social se basa en aprovechar la naturaleza humana, que suele ser el eslabón más débil en un sistema por lo demás fuerte.

La ingeniería social, a diferencia de muchos otros ataques técnicos, no intenta ingresar directamente a los sistemas informáticos. Mientras que un pirata informático puede escribir un programa que intente forzar la contraseña de alguien o explotar un error en el software, la ingeniería social se basa solo en engañar o manipular a las víctimas para que hagan algo que el atacante quiere.

Si bien la ingeniería social es anterior a la era de Internet (piense en las tácticas de ventas que lo presionan a comprar algo que no desea), la práctica se ha generalizado mucho más en línea.

Incluso con contraseñas seguras, software de seguridad de primer nivel y máquinas físicamente seguras, una persona engañada puede ser una vulnerabilidad y aún así invitar a una brecha de seguridad a una empresa o su propia configuración.

La mayoría de la gente reconoce las estafas descaradas. Dado que la conciencia sobre estos trucos ha aumentado con el tiempo, los estafadores que los ejecutan tienen que cambiar regularmente sus tácticas para mantenerlos viables.

Como resultado, los esquemas específicos de ingeniería social se adaptan con el tiempo. Sin embargo, muchos de estos trucos utilizan una combinación de los siguientes elementos:

Tácticas de miedo : si un estafador puede hacerte temer que algo malo esté a punto de suceder, es más probable que lo sigas sin pensar críticamente. Por ejemplo, podrían hacerse pasar por el gobierno y exigir el pago de impuestos ante la amenaza de ser arrestados.
Sentido de urgencia: para presionarlo a actuar antes de pensar, muchas estafas de ingeniería social requieren una acción inmediata, para que no "pierda su cuenta" o algo similar.
Haciéndose pasar por una empresa legítima: para convencerlo de que no son falsos, los atacantes utilizarán elementos de apariencia auténtica en su correo electrónico u otra comunicación.
Redacción vaga: debido a que los ataques de ingeniería social suelen dirigirse a muchas personas a la vez, la mayoría no son específicos para usted. La redacción genérica y la falta de una razón particular para la comunicación son señales de que estás tratando con una falsificación.

A continuación, echemos un vistazo a algunas formas comunes de ingeniería social para ver cómo se desarrolla.

Suplantación de identidad

Probablemente esté familiarizado con el phishing. Es uno de los tipos más comunes de ingeniería social. Este es un ataque en el que alguien finge ser una entidad legítima, generalmente por correo electrónico, y solicita información confidencial.

A menudo, dice ser de PayPal, Apple, su banco u otra empresa de confianza, y le pide que "confirme" sus datos o revise una transacción sospechosa.

Para protegerse contra el phishing, nunca debe hacer clic en los enlaces de los correos electrónicos y recuerde que las empresas legítimas no solicitan información confidencial de esta manera. Asegúrese también de estar familiarizado con las diversas formas de phishing .

Estafas telefónicas

Las estafas telefónicas son más antiguas que el phishing por correo electrónico, pero siguen siendo populares. En estos esquemas, alguien lo llama diciendo, por ejemplo, que es de la compañía de su tarjeta de crédito y le pide que confirme sus datos debido a una actividad sospechosa.

También pueden pretender representar a una empresa de informática que necesita "arreglar infecciones de virus" en su máquina.

Por teléfono, un ladrón puede establecer una conexión más personal que por correo electrónico. Pero si prestas atención, es fácil saber cuándo estás hablando por teléfono con un estafador .

Cebo

Si bien no está tan extendido como las formas anteriores, el cebo es una forma de ingeniería social que se alimenta de la curiosidad humana. En estos ataques, un estafador deja un CD o una unidad USB infectada en un lugar donde espera que alguien lo recoja. Si luego inserta el medio en su PC, podría terminar siendo atacado por malware si el contenido de la unidad se ejecuta automáticamente.

Este ataque es más complicado, ya que utiliza medios físicos. Sin embargo, ilustra que nunca debe conectar una unidad flash u otro dispositivo a su computadora si no confía en él.

Chupar rueda

Este ataque, a diferencia de los demás, se basa en la presencia física del estafador. Tailgating se refiere al acto de obtener acceso a un área segura a cuestas de otra persona (legítima).

Un ejemplo común de esto es una puerta en un lugar de trabajo que requiere que escanee una tarjeta para ingresar. Si bien es una cortesía común mantener la puerta abierta para alguien detrás de usted, la mayoría de las empresas no quieren que haga esto. La persona detrás de ti podría estar tratando de colarse en un área donde no debería estar, aprovechando tu amabilidad.

Este es principalmente aplicable al uso comercial, pero es inteligente recordar que también debe proteger el acceso físico a su computadora . Alguien que sea capaz de colarse en tu máquina sin que mires pueda hacer mucho daño.

Scareware

A veces llamado "scareware", esto sirve como una mezcla entre phishing y malware. En estos ataques, lo amenazan con usar mensajes falsos, con la esperanza de que pague dinero a un estafador o entregue información confidencial.

Una forma común de scareware son las advertencias de virus falsas . Estos no son peligrosos por sí mismos, pero lo engañan haciéndole creer que son signos reales de infección en su dispositivo. Los estafadores esperan que usted caiga en la trampa y les envíe dinero para "arreglar" la infección o descargar su software, que en realidad es peligroso.

Otra técnica común para atemorizar son los correos electrónicos de extorsión . En estos, recibe un correo electrónico de alguien que afirma tener contenido comprometedor suyo, o similar. Exigen un pago para evitar que entreguen el video o la imagen a todos tus amigos. Por supuesto, en realidad no tienen esa información; solo esperan que les crea.

Como hemos visto, la ingeniería social adopta muchas formas y, a menudo, puede ser difícil de detectar. Para protegerse de estos y otros ataques similares, tenga en cuenta lo siguiente:

No confíe en los correos electrónicos . Los correos electrónicos son una de las formas de comunicación más fáciles de falsificar. Nunca haga clic en un enlace en un correo electrónico a menos que lo estuviera esperando específicamente. Siempre es más seguro visitar sitios web directamente.
No actúes sin pensar . Si recibe un mensaje que se alimenta de sus emociones, es probable que esté diseñado para engañarlo. Deténgase y piense cuando se sienta especialmente preocupado o curioso, ya que es más probable que tome decisiones apresuradas en estos casos.
Confirme siempre la información sospechosa . Si alguien dice provenir de una determinada empresa, pídale información que lo demuestre. Si responden con excusas vagas, es un mentiroso.

Incluso si nunca eres víctima de un exploit complicado o si te descifran la contraseña, un plan de ingeniería social podría dejar pasar el rato. Al reconocer estas estafas comunes y pensar críticamente cuando surgen estas situaciones, puede evitar jugar en las manos de un estafador.

Mientras tanto, la ingeniería social no es la única forma en que se explota la psicología humana en línea.

Haber de imagen: wk1003mike / Shutterstock