¿Qué es la ingeniería social y cómo podemos protegernos?

Imagen: Zdzisław Beksiński

Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad — CSCT™, (ISC)² Certified in Cybersecurity℠ CC, EC-Council Ethical Hacking Essentials (EHE) Certified, Ethical Hacking Certified Associate (EHCA) y líder del Capítulo Querétaro de la Fundación OWASP.

La ingeniería social tiene un nombre muy agradable, que parece carrera universitaria o tema de maestría. Pero no es así. Es una de las técnicas más peligrosas utilizada por los cibercriminales en la actualidad.

La ingeniería social es una técnica utilizada por delincuentes informáticos para engañar a las personas y obtener información confidencial o acceso no autorizado a sistemas o redes informáticas. La ingeniería social implica el uso de técnicas de persuasión y manipulación para engañar a las personas y obtener información importante, como contraseñas, nombres de usuario, números de tarjetas de crédito, información financiera y otra información personal.

Los delincuentes informáticos pueden utilizar la ingeniería social a través de correos electrónicos de phishing, llamadas telefónicas, mensajes de texto y redes sociales, entre otros medios. Es importante que las personas estén al tanto de las técnicas de ingeniería social y estén alerta para evitar caer en estas trampas.

Existen muchas técnicas de ingeniería social, pero algunas de las más comunes incluyen:

Phishing: enviar correos electrónicos que parecen ser legítimos, pero en realidad son fraudulentos y diseñados para engañar a la víctima para que revele información confidencial.

Spear Phishing: esta técnica se enfoca en objetivos específicos, personalizando el mensaje para parecer más legítimo.

Pretexto: esta técnica implica que el delincuente informático se hace pasar por alguien de confianza, como un empleado de una empresa o un proveedor de servicios.

Ingeniería social en persona: esta técnica implica la manipulación cara a cara, donde el delincuente informático interactúa con la víctima directamente para obtener información.

“Baiting”: esta técnica implica dejar dispositivos de almacenamiento externos (como una unidad flash USB) en áreas públicas para que las personas los recojan y los conecten a sus computadoras, infectando así la máquina con malware.

“Quid pro quo”: esta técnica implica que el delincuente informático ofrece algo a cambio de la información deseada, como ofrecer una actualización de software o una solución a un problema técnico.

Hay varios ataques de ingeniería social famosos que han ocurrido en el pasado, algunos de ellos incluyen:

Ataque a la cuenta de Twitter de Barack Obama: en 2013, la cuenta de Twitter del entonces presidente de los Estados Unidos, Barack Obama, fue hackeada mediante ingeniería social. Los atacantes engañaron a un empleado de Twitter para que les diera acceso a la cuenta.

Ataque a Target Corporation: en 2013, los atacantes comprometieron el sistema de pago de la tienda minorista Target mediante ingeniería social. Los atacantes obtuvieron acceso a la red de la compañía mediante el uso de credenciales robadas de un proveedor externo.

Ataque a Sony Pictures Entertainment: en 2014, un grupo de hackers, supuestamente de Corea del Norte, atacaron a Sony Pictures Entertainment mediante ingeniería social y otros métodos. Los atacantes robaron información confidencial de la compañía, incluyendo correos electrónicos y datos financieros.

Ataque a Equifax: en 2017, los atacantes comprometieron la base de datos de la agencia de informes crediticios Equifax mediante la explotación de una vulnerabilidad de software y mediante ingeniería social. Los atacantes obtuvieron acceso a los datos personales de millones de personas.

Hay varias medidas que podemos tomar para protegernos de los ataques de ingeniería social, algunas de las cuales incluyen:

Conocer las técnicas de ingeniería social: es importante estar familiarizado con las diferentes técnicas que los delincuentes informáticos utilizan para engañar a las personas. De esta manera, estaremos más alerta y podremos detectar mejor cuando alguien está tratando de engañarnos.

Ser cautos al proporcionar información: nunca debemos proporcionar información personal o financiera a nadie a menos que estemos seguros de que son legítimos. Si alguien nos solicita información por teléfono, correo electrónico u otro medio, debemos verificar su identidad antes de proporcionar cualquier información.

Utilizar contraseñas seguras: debemos utilizar contraseñas seguras y únicas para cada cuenta que tengamos. Además, debemos evitar compartir nuestras contraseñas con otras personas y cambiarlas regularmente.

Mantener el software actualizado: es importante mantener nuestro software, especialmente nuestro software de seguridad, actualizado. De esta manera, podremos estar seguros de que estamos protegidos contra las últimas amenazas y vulnerabilidades.

No hacer clic en enlaces sospechosos: nunca debemos hacer clic en enlaces sospechosos en correos electrónicos, mensajes de texto o redes sociales. Es mejor escribir la dirección web de un sitio manualmente en el navegador en lugar de hacer clic en un enlace sospechoso.

Ser cuidadosos con los dispositivos de almacenamiento externos: no debemos insertar dispositivos de almacenamiento externos desconocidos en nuestras computadoras, ya que pueden estar infectados con malware.

Es importante tener en cuenta que la ingeniería social puede tomar muchas formas y que los delincuentes informáticos pueden ser muy creativos en sus métodos para engañar a las víctimas. Por esta razón, es importante estar siempre alerta y consciente de las posibles señales de fraude y trampas.

Para más información, visite: https://www.silikn.com/