El eslabón más débil en la seguridad, el humano.
La Ingeniería Social se manifiesta en todos los ámbitos de la vida, por lo que sería un error pensar que se trata de algo nuevo o que solo se ve en el mundo online.
La ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos.
Con este método, los ingenieros sociales aprovechan la tendencia natural de la gente a reaccionar de manera predecible en ciertas situaciones, en lugar de tener que encontrar agujeros de seguridad en los sistemas informáticos. Casi todos los tipos de ataques conllevan algún tipo de ingeniería social. Por ejemplo, están los clásicos correos electrónicos de “phishing” y estafas de virus, con un gran contenido social.
La Ingeniería Social usa algunas estrategias como estas:
Pretexto
El pretexto es la creación de un escenario inventado para llevar a la víctima a revelar información personal o a actuar de una forma que sería poco común en circunstancias normales. Una mentira elaborada implica a menudo una investigación previa de la víctima para conseguir la información necesaria.
El pretexto también se puede utilizar para suplantar cualquier persona que podría haber percibido el derecho a la información en la mente de la víctima.
Redes sociales
Las redes sociales proveen de mucha información a un delincuente para que realice un ataque, como para robar tu identidad. Desde imágenes de toda su familia, los lugares que frecuentas, gustos personales y relaciones amorosas.
Phishing
Quizá el ataque más simple pero muy efectivo. Los usuarios de sistemas de Internet frecuentemente reciben mensajes que solicitan contraseñas o información de tarjeta de crédito, con el motivo de “crear una cuenta”, “reactivar una configuración”, u otra operación benigna; a este tipo de ataques se los llama phishing.
Otro ejemplo contemporáneo de un ataque de ingeniería social es el uso de archivos adjuntos en correos electrónicos.
Vishing
El vishing consiste en realizar llamadas telefónicas encubiertas bajo alguna mentira con la que se podría sacar información personal de forma que la víctima no sospeche.
De todos estos métodos, el vishing es el que involucra mayor interacción humana.
Baiting
En este caso se utiliza un dispositivo de almacenamiento extraíble (CD, DVD, USB) infectado con un software malicioso, dejándolo en un lugar en el cual sea fácil de encontrar (por ejemplo, baños públicos, ascensores, aceras, etc.). Cuando la víctima encuentre dicho dispositivo y lo introduzca en su ordenador, el software se instalará y permitirá que el hacker obtenga todos los datos personales del usuario.
Cara a cara
Por ejemplo, un hacker puede frecuentar el comedor público de un gran edificio de oficinas, buscar usuarios que estén trabajando en sus tablets o computadoras portátiles y mirar los dispositivos por encima de su hombro. Con esta táctica pueden conseguir una gran cantidad de contraseñas y nombres de usuario, todo sin necesidad de ni enviar un solo correo electrónico de ni escribir una línea de código de virus.
Es incluso suficiente acceder a la información pidiendo prestado un dispositivo, de nuevo, con pretextos.
Cómo reconocer la ingeniería social
Cada vez es más complicado reconocer estos ataques y nos aconsejan como único método de prevención estar informados. Tener unos conocimientos sólidos en informática, como conocer el valor que tienen nuestros datos en internet y los peligros que corremos si un desconocido se hace con ellos, nos ayuda a ser más cautos y más difíciles de engañar.