Ingeniería Social

La ingeniería social es una práctica de manipulación de usuarios legítimos para obtener información, acceso o permisos en sistemas de información​ con el objetivo de realizar daños a la persona u organización comprometida.

Su fin es explotar los errores y comportamientos humanos para realizar un ciberataque.

A diferencia de los ataques cibernéticos tradicionales basados en vulnerabilidades de seguridad para obtener accesos, las técnicas de ingeniería social apuntan a las vulnerabilidades humanas. Por ejemplo, en lugar de tratar de encontrar una vulnerabilidad de software, un ingeniero social podría llamar a un empleado y hacerse pasar por un superior, tratando de engañar al empleado para que divulgue datos de la compañía.

Un ataque por medio de ingeniería social tiene como base la manipulación basada en la confianza, es decir, en la confianza falsa, y en la persuasión. 

En general, hay cuatro pasos para un ataque de ingeniería social exitoso:

Es importante tener en cuenta que la ingeniería social puede representar un solo paso dentro de una cadena de ataque mucho más grande. 

Según el tipo de ataque de ingeniería social, este método puede llevar desde horas hasta meses. Los ingenieros sociales utilizan diferentes métodos para poder llevar a cabo sus objetivos, dentro de estos métodos vectores repetitivos que hay que tener en cuenta:

INGENIERASOCIALTIPOS-09
INGENIERASOCIALTIPOS-12
INGENIERASOCIALTIPOS-11
INGENIERASOCIALTIPOS-14
INGENIERASOCIALTIPOS-13
INGENIERASOCIALTIPOS-10
INGENIERASOCIALTIPOS-16
INGENIERASOCIALTIPOS-17
INGENIERASOCIALTIPOS-15
previous arrow
next arrow

La ingeniería social puede ocurrir en línea y fuera de línea. Y a diferencia de los ciberataques tradicionales, en los que los ciberdelincuentes son sigilosos, los ingenieros sociales a menudo se comunican con sus víctimas a plena vista. Por ello, es importante reconocer los indicadores de un ataque de ingeniería social para así poder detectar y detener cualquier intento rápidamente.

Pueden hacerse pasar por personas de confianza, como un amigo, jefe, compañero de trabajo, incluso una institución bancaria, y enviar mensajes visibles que contienen enlaces maliciosos o descargas. Otra táctica es apelar a emociones como el miedo, la curiosidad, la ira, la culpa o la tristeza, por medio de posts en redes sociales, por ejemplo, o llamadas. Muchos ataques de ingeniería social implican algún tipo de urgencia, como un sorteo en el que debe participar ahora o un software de ciberseguridad que debe descargar para borrar un virus de su computadora.

En la red, lo más probable es que si una oferta parece demasiado buena para ser verdad, es potencialmente un ataque de ingeniería social. De igual manera, los delincuentes pueden comunicarse bajo la apariencia de una empresa legítima que solicita su información u ofrece ayuda.

Luchar contra la ingeniería social y sus diferentes técnicas, requiere de una confianza cero. La capacitación en conciencia de seguridad es la forma número uno de evitar que los empleados y directivos sean víctimas de ataques. Deben ser conscientes de que la ingeniería social existe y estar familiarizados con las tácticas más utilizadas.

Asegúrese de contar con un programa integral de capacitación y concientización en seguridad que se actualice regularmente para abordar tanto las amenazas generales como las nuevas amenazas cibernéticas dirigidas. Recuerde, no se trata solo de hacer clic en los enlaces.

Recuerde la confianza cero en sus interacciones en línea, esto puede ser de gran ayuda para detener los ataques de ingeniería social en su camino.

No comparta información personal en exceso, no interactúe con información que no solicite y recuerde el funcionamiento y tipos de ingeniería social.

Proteja sus cuentas y redes por medio de métodos como la autenticación de dos factores, contraseñas seguras, implementación de un administrador de contraseñas, filtros de spam, utilice redes privadas y supervise las actividades de sus cuentas.

Asegúrese de que sus dispositivos estén protegidos: no los pierda de vista y mantenga sus sistemas operativos y antivirus actualizados.

En nuestra CIBERACADEMIA puede encontrar una Cápsula Informativa (CIBE) para que comparta a sus usuarios en sus campañas de capacitación y concientización: AQUÍ