Ingeniería Social – Que es y como protegerse.

Ingeniería Social – Que es y como protegerse.

¿Sabías que algunos estudios indican que el 97% de los ataques informáticos o ciberataques no aprovechan una vulnerabilidad en el software o el hardware atacado, sino que se usan técnicas de ingeniería social para conseguir las credenciales necesarias para vulnerar la seguridad informática de la empresa?.

A veces poco importan las medidas de seguridad tecnológicas que implementemos si los usuarios terminan enviando su password por correo electrónico, la clave de la wifi de empresaria esta apuntada en un post-it en la sala de reuniones, etc..

La ingeniería social, tal y como explica la Oficina de Seguridad del Internauta, consiste en utilizar un reclamo por parte de los ciberdelincuentes para atraer nuestra atención, y de este modo engañarnos y manipularnos para conseguir que actuemos como ellos quieren para obtener la información que de nosotros necesitan.
Todos hemos sufrido un ataque de ingeniería social, lo sepamos o no.

¿No te han invitado a participar en un sorteo de un teléfono último modelo, coche último modelo, televisión de ultimo modelo que no se puede vender en el que, mediante alguna red social como #facebook o #twitter, debes permitir el acceso completo a tu perfil y promocionar el concurso con “compartir” o “retweets” del supuesto sorteo?
¿No te han invitado a rellenar un cuestionario con datos personales para recibir o entrar en el sorteo de un vale de 500€ para Mercadona, Lidl, Ikea, Zara, El Corte ingles, o el comercio que sea?
¿No te das cuenta que con cualquier pretexto, con un pequeño reclamo consiguen respuestas e información que les damos gustosamente?

Si no permitirías que desconocidos hurgaran en tu correspondencia, en tu casa o en tu cartera para proteger tu intimidad, ¿por que permites que terceros si accedan a toda esa información digital intima por la posibilidad de recibir un regalo o participar en un sorteo? ¿No es incongruente?
Por ejemplo, en una casa puedes tener 20 seguros y candados, todas las ventanas con un sistema de alarma, cámaras de vigilancia, pero si permites entrar a la persona que entrega la pizza sin verificar su identidad, toda la seguridad que establecimos queda vulnerada. Informáticamente hablando el ejemplo es equivalente.

La principal defensa contra la ingeniería social es educar y entrenar a los usuarios en el uso de políticas de seguridad y asegurarse de que estas sean seguidas.

Según @wikipedia, el pretexto es la creación de un escenario inventado para llevar a la víctima a desvelar información personal o a actuar de una forma que sería poco común en circunstancias normales. Una mentira elaborada implica a menudo una investigación previa de la víctima para conseguir la información necesaria, y así llevar a cabo la suplantación (por ejemplo, la fecha de nacimiento, el número de la Seguridad Social, datos bancarios, etc.) y hacerle creer que es legítimo.

Esta técnica puede ser utilizada por investigadores privados para engañar a una empresa para que revele información personal de los clientes, y obtener así los registros telefónicos, registros bancarios y otros datos. El pretexto también se puede utilizar para suplantar a compañeros de trabajo, a la policía, al banco, a autoridades fiscales o cualquier otra persona que podría haber percibido el derecho a la información en la mente de la víctima. El “pretexter” simplemente debe preparar respuestas a preguntas que se puede plantear la víctima. En algunos casos, todo lo que necesita es una voz que inspire autoridad, un tono serio y la capacidad de improvisar para crear un escenario.

El Phishing es quizá el ataque más simple pero muy efectivo sea engañar a un usuario llevándolo a pensar que un administrador del sistema está solicitando una contraseña para varios propósitos legítimos. Los usuarios de sistemas de Internet frecuentemente reciben mensajes que solicitan contraseñas o información de tarjeta de crédito, con el motivo de “crear una cuenta”, “reactivar una configuración”, u otra operación benigna; a este tipo de ataques se los llama phishing (se pronuncia igual que fishing, pesca). Los usuarios de estos sistemas deberían ser advertidos temprana y frecuentemente para que no divulguen contraseñas u otra información sensible a personas que dicen ser administradores.


Otro ejemplo contemporáneo de un ataque de ingeniería social es el uso de archivos adjuntos en correos electrónicos, ofreciendo, por ejemplo, fotos “íntimas” de alguna persona famosa o algún programa “gratis” (a menudo aparentemente provenientes de alguna persona conocida) pero que ejecutan código malicioso (por ejemplo, usar la máquina de la víctima para enviar cantidades masivas de spam). Ahora, después de que los primeros correos electrónicos maliciosos llevaran a los proveedores de software a deshabilitar la ejecución automática de archivos adjuntos, los usuarios deben activar esos archivos de forma explícita para que ocurra una acción maliciosa. Muchos usuarios, sin embargo, abren casi ciegamente cualquier archivo adjunto recibido, concretando de esta forma el ataque.

La ingeniería social también se aplica al acto de manipulación cara a cara para obtener acceso a los sistemas informáticos. Otro ejemplo es el conocimiento sobre la víctima, a través de la introducción de contraseñas habituales, lógicas típicas o conociendo su pasado y presente; respondiendo a la pregunta: ¿Qué contraseña introduciría yo si fuese la víctima?

El Vishing consiste en realizar llamadas telefónicas encubiertas bajo encuestas con las que también se podría sacar información personal de forma que la víctima no sospeche. Por este motivo debemos tener cuidado y no proporcionar información personal aunque se trate de nuestra compañía de móvil, electricidad o agua (entre otras), ya que podría ser un hacker que haya elegido casualmente la nuestra.

El Baiting utiliza un dispositivo de almacenamiento extraíble (CD, DVD, USB) infectado con un software malicioso, dejándolo en un lugar en el cual sea fácil de encontrar (por ejemplo, baños públicos, ascensores, aceras, etc.). Cuando la víctima encuentre dicho dispositivo y lo introduzca en su ordenador, el software se instalará y permitirá que el hacker obtenga todos los datos personales del usuario.

El Quid pro quo significa “algo por algo”. Como ejemplo, ante una supuesta encuesta de seguridad de la información de 2003, el 90% de los trabajadores de una oficina dieron a los investigadores lo que ellos afirmaban ser su contraseña en respuesta a una pregunta de la encuesta a cambio de una pluma. Estudios similares en años posteriores obtuvieron resultados similares utilizando chocolates y otros señuelos baratos, aunque no intentaron validar las contraseñas.

Parece mentira lo sencillo que es obtener nuestra información, pero es así y la gente que pone en práctica ataques de ingeniería social sabe que:

1. Todos queremos ayudar.
2. El primer movimiento es siempre de confianza hacia el otro.
3. No nos gusta decir No.
4. A todos nos gusta que nos alaben.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *