Ingeniería social

Pero primero vamos a definir qué es la ingeniería Social. La ingeniería social es el arte de manipular a las personas para que entreguen información confidencial. Los tipos de información que buscan estos delincuentes puede variar. Cuando los individuos son atacados, los delincuentes generalmente intentan engañarlos para que les proporcionen sus contraseñas o información bancaria, o acceder a su computadora. De esta manera logran instalar software malicioso, que les dará acceso a su contraseñas e información bancaria, así como darles control sobre su computadora.

Ejemplos y consejos de prevención

Los delincuentes usan tácticas de ingeniería social porque generalmente es más fácil explotar su inclinación natural a confiar, que descubrir formas de hackear su software. Por ejemplo, es mucho más fácil engañar a alguien para que le dé su contraseña que intentar adivinarla (a menos que la contraseña sea realmente débil).

La seguridad se trata de saber en quién y en qué confiar. Es importante saber cuándo sí y cuándo no tomar la palabra de una persona. También saber cuándo la persona con la que estamos hablando es quien dice ser. Lo mismo ocurre con las interacciones en línea y el uso del sitio web.¿Cuándo confiar en que el sitio web que estás utilizando es legítimo o seguro para proporcionarle tu información?

Pregúntale a cualquier profesional de seguridad y te dirá que el eslabón más débil de la cadena de seguridad es el humano. Porque acepta a una persona o escenario al pie de la letra. No importa cuántas cerraduras haya en tu casa o si tienes perros, sistemas de alarma, cercas con alambre de púas o un seguridad armado. Si confías en la persona que llega a la puerta que dice que es el repartidor de pizza. Si lo dejas entrar sin verificar primero si es legítimo, estás completamente expuesto a cualquier riesgo que represente.

¿Qué aspecto tiene un ataque de ingeniería social?

Correo electrónico de un amigo

Si un cybercriminal logra hackear o adivinar la contraseña de correo electrónico de una persona, tiene acceso a la lista de contactos de esa persona. Como la mayoría de las personas usan una misma contraseña para todo, probablemente también tengan acceso a los contactos de redes sociales de esa persona.

Una vez que el cybercriminal tiene la cuenta de correo electrónico bajo control envía correos electrónicos a todos los contactos. También podrá dejar mensajes en las páginas sociales de tus amigos y de los amigos de tus amigos.

Aprovechando su confianza y curiosidad, estos mensajes:

  • Contiene un enlace que solo tienes que revisar. Debido a que el enlace proviene de un amigo y tienes curiosidad, confiarás en el enlace y harás clic. Estarás infectándote con malware y el cybercriminal podrá apoderarse de tu máquina y recoger tu información de contactos y engañarlos tal como tú fuiste engañado.
  • Contiene una descarga de imágenes, música, películas, documentos, etc., que tiene software malicioso incorporado. Si descargas, lo que es probable que hagas, ya que crees que es de tu amigo, te infectas. Ahora, el cybercriminal tiene acceso a tú máquina, cuentas de correo electrónico, cuentas de redes sociales y contactos. El ataque se extiende a todos tus conocidos y así sucesivamente.

Correo electrónico de otra fuente confiable

Los ataques de phishing son un subconjunto de estrategias de ingeniería social que imitan una fuente confiable. Crean así un escenario aparentemente lógico para entregar credenciales de inicio de sesión u otros datos personales confidenciales. Las instituciones financieras representan la gran mayoría de las empresas suplantadas. De acuerdo con el Informe anual de investigaciones de violación de datos de Verizon. Los ataques de ingeniería social, incluido el phishing son responsables de la mayoría de las infecciones.

Usando una historia convincente o un pretexto, estos mensajes pueden:

  • Pedir urgentemente tu ayuda. Tu ‘amigo’ está atrapado en el país X, ha sido robado, golpeado y está en el hospital. Necesitan que envíe dinero para poder llegar a casa y le dicen cómo enviar el dinero al cybercriminal.
  • Utilizan los intentos de phishing con antecedentes legítimos. Por lo general, un atacante envía un correo electrónico o similar que parece provenir de una compañía, banco, escuela o institución legítima y popular.
  • Pedirle que done a la organización de caridad X, o alguna otra causa. Probablemente con instrucciones sobre cómo enviar el dinero al cybercriminal.
  • Aprovechando la amabilidad y la generosidad, estos atacantes piden ayuda o apoyo para cualquier desastre, campaña política o caridad que sea momentáneamente prioritario.
  • Presente un problema que requiera que «verifique» su información haciendo clic en el enlace que se muestra y proporcionando información para imitar el sitio real. La ubicación del enlace puede parecer legítima con los logotipos y contenidos correctos (normalmente han copiado el formato y contenido exactos del sitio legítimo). Debido a que todo parece legítimo, confías en el correo electrónico y en el sitio falso y proporcionas tú información al delincuente. Estos tipos de estafas de phishing a menudo incluyen una advertencia de lo que sucederá si no actúas pronto. Los delincuentes saben que, si logran que actúes antes de pensar, es más probable que caigas en su intento de phishing.
  • Notificarte que eres un «ganador». Tal vez el correo electrónico afirme que es de una lotería, o un pariente muerto, o la millonésima persona que hace clic en su sitio. Para poder darte tu ‘premio’, debes proporcionar información sobre tu banco para que sepan cómo hacerlo efectivo. También puede que te pidan datos para verificar que eres tú. Estos son los «phishing de avaricia» en los que, incluso si el pretexto es escaso, la gente quiere lo que le ofrecen y se deja engañar.
  • Haciéndose pasar por un jefe o compañero de trabajo. Es posible que solicite una actualización de un proyecto importante. El propietario de la empresa en la que estás trabajando actualmente pide información relacionada con una tarjeta de crédito o alguna otra consulta que parezca que son tramites cotidianos.

Escenarios de cebo

Estos esquemas de ingeniería social saben que, si cuelgas algo que la gente quiere, muchas personas morderán el anzuelo. Estos esquemas a menudo se encuentran en sitios de igual a igual que ofrecen una descarga de algo como una nueva película o música. Pero los esquemas también se encuentran en sitios de redes sociales, sitios web maliciosos que se encuentran en los resultados de búsqueda, etc.

O bien, el esquema puede aparecer como una oferta increíblemente buena en sitios clasificados, sitios de subastas, etc. Para disipar sus sospechas, podrás ver que el vendedor tiene una buena calificación (todo planeado y elaborado con anticipación).

Las personas que muerden el anzuelo pueden estar infectadas con un software malicioso. Este software puede generar cualquier cantidad de nuevos ataques contra ellos mismos y sus contactos, pueden perder su dinero sin recibir el artículo comprado. Si fueron lo suficientemente incautos como para pagar con tarjeta, pueden encontrar su cuenta bancaria está vacía.

Respuesta a una pregunta que nunca tuviste

Los delincuentes pueden fingir estar respondiendo a tu ‘solicitud de ayuda’ de una empresa y al mismo tiempo ofrecerte más ayuda. Eligen compañías que usan millones de personas, como una compañía de software, telefonía o un banco. Si no utilizas el producto o servicio, ignorarás el correo electrónico, la llamada telefónica o el mensaje. Pero si utilizas el servicio, es muy probable que respondas porque probablemente desees ayuda con un problema.

Por ejemplo, aunque sabes que originalmente no hiciste una pregunta. Probablemente tengas un problema con el sistema operativo de tu ordenador y aproveches esta oportunidad para solucionarlo ¡Gratis! En el momento en que respondes, has caído en el juego del ladrón, le has dado tu confianza y te has desprotegido ante el ataque.

El representante, que en realidad es un cyberdelincuente, necesitará ‘autenticarse’. Hacer que inicie sesión en ‘su sistema’ o que inicie sesión en tu ordenador. Por lo que le das acceso remoto a tu ordenador para que pueda ‘arreglarlo’ por ti. También puede darte los comandos para que puedas arreglarlo tú mismo con su ayuda. Algunos de los comandos que te darán habilitarán una manera para que el criminal regrese a su ordenador más tarde. Comúnmente llamados backdoor en informática.

Creando desconfianza

Parte de la ingeniería social se trata de crear desconfianza o iniciar conflictos. A menudo las llevan a cabo personas que te conocen y están enojadas contigo. También lo hacen personas maliciosas que solo intentan causar daño. Personas que primero quieren crearte desconfianza, para que luego puedan intervenir como héroes y ganar tu confianza. También están los extorsionistas que quieren manipular la información y luego amenazarte con revelarlo.

Esta forma de ingeniería social a menudo comienza por tener acceso a una cuenta de correo electrónico o similar. Lo logran pirateando el ordenador, con ingeniería social o simplemente adivinando contraseñas realmente débiles.

La persona malintencionada puede alterar las comunicaciones confidenciales o privadas (incluidas imágenes y audio) utilizando técnicas de edición básicas. Para posteriormente reenviarlas a otras personas para crear drama, desconfianza, vergüenza, etc. Pueden hacer que parezca que se envió accidentalmente o parecer que te están haciendo saber lo que «realmente» está sucediendo.

Alternativamente, pueden usar el material alterado para obtener dinero de la persona que piratearon o del supuesto destinatario.

Hay literalmente miles de variaciones a los ataques de ingeniería social. El único límite para la cantidad de formas en que pueden manipular sociálmente a los usuarios es la imaginación del cyberdelincuente. Y puede experimentar múltiples formas de ataques en un solo ataque. Entonces es probable que el delincuente venda tu información a otros. Para que ellos también puedan ejecutar sus ataques contra ti, tus amigos, los amigos de tus amigos, etc… Mientras los delincuentes se aprovechan de la confianza que las personas tienen en ti.

No te conviertas en una víctima

Los atacantes que usan los métodos de phishing son pacientes. Solo necesitan unos pocos usuarios que muerdan el anzuelo, para que su campaña sea exitosa. Existen métodos para protegerse. La mayoría no requiere mucho más que, simplemente, prestar atención a los detalles del intento de estafa que estarán frente a ti. Ten en cuenta lo siguiente para evitar ser estafado.

Consejos para recordar:

Ve más despacio. Los spammers quieren que actúes primero y pienses después. Si el mensaje transmite una sensación de urgencia o utiliza tácticas de venta de alta presión, debes ser escéptico; nunca dejes que su urgencia influya en tu cuidadosa revisión.

Investiga los hechos y sospecha de cualquier mensaje no solicitado. Si el correo electrónico parece ser de una empresa de la cual eres cliente, haz tu propia investigación. Usa un motor de búsqueda para ir al sitio de la compañía real o un directorio telefónico para encontrar su número de teléfono. Recuerda ningún banco te va a pedir tus datos a no ser que entres de la manera habitual. en su web corporativa.

No permitas que un enlace controle dónde aterrizas. Mantén el control buscando el sitio web tú mismo, utilizando un motor de búsqueda para asegurarse de llegar al destino al cual pretendías llegar. Al pasar el ratón sobre los enlaces del correo electrónico, se verá la URL real en la parte inferior. Aún así, si la falsificación es buena puede llevarte a un sitio fraudulento.

El secuestro de correo electrónico está a la orden del día. Los hackers, spammers e ingenieros sociales que toman el control de las cuentas de las personas se han vuelto cotidianos. Una vez que controlan una cuenta de correo electrónico, se aprovechan de la confianza de los contactos de la persona infectada usurpando su identidad. Incluso cuando el remitente parece ser alguien que conoces, si no esperas un correo electrónico. Y este viene con un enlace o un archivo adjunto, consulta con tu amig@ antes de abrir enlaces o descargar.

Cuidado con cualquier descarga. Si no conoces al remitente personalmente y no esperas un archivo de ellos, descargar cualquier cosa es un error.

Las ofertas extranjeras son falsas. Si recibes un correo electrónico de un sorteo o lotería, dinero de un pariente desconocido seguro que será una estafa.

Formas de protegerse:

  • Elimine cualquier solicitud de información financiera o contraseñas. Si te piden que respondas a un mensaje con información personal, es una estafa.
  • Rechazar solicitudes de ayuda u ofertas de ayuda. Las compañías y organizaciones legítimas no contactan contigo para brindarte ayuda.
    • Si no solicitaste asistencia específica del remitente. Considera cualquier oferta para ‘ayudar’ a restablecer la linea de crédito, refinanciar una casa, responder a tu pregunta, etc., una estafa.
    • Del mismo modo, si recibes una solicitud de ayuda de una organización benéfica u organización con la que no tienes una relación, elimínala. Para donar, busca organizaciones caritativas de buena reputación para evitar caer en una estafa.
  • Establezca sus filtros de spam en alto. Cada programa de correo electrónico tiene filtros de spam. Para encontrar la tuya, mira sus opciones de configuración y configuralas en alto; solo recuerda revisar tu carpeta de correo no deseado periódicamente para ver si el correo electrónico legítimo ha quedado atrapado accidentalmente allí. También puedes buscar una guía paso a paso para configurar tus filtros de spam, simplemente buscando tu proveedor de correo electrónico más ‘filtros de spam’.
  • Asegura tus dispositivos informáticos. Instale software antivirus, cortafuegos, filtros de correo electrónico y manténgalos actualizados. Configura tu sistema operativo para que se actualice automáticamente. Si tu teléfono inteligente no se actualiza automáticamente, actualízalo manualmente cada vez que recibas un aviso para hacerlo. Usa una herramienta anti-phishing ofrecida por tu navegador web o por un tercero para alertarlo sobre los riesgos.

Si quieres agregar alguna forma más por la cual te pueden engañar no dudes en dejar tu comentario. Hazme el favor de compartir el artículo en las redes sociales si crees que merece la pena.

Y recuerda si quieres estar al tanto de los últimos posts sigue al conejito blanco.

conejito blanco
Suscríbete al boletín y estarás informado !

¿Qué es la ingeniería social?

Navegación de la entrada


Un comentario en «¿Qué es la ingeniería social?»

Deja un comentario

Plugin the Cookies para Wordpress por Real Cookie Banner