Cuando pensamos en ciberseguridad, la mayoría piensa en defenderse de los piratas informáticos que utilizan las debilidades tecnológicas para atacar las redes de datos. Pero hay otra forma de ingresar a las organizaciones y redes, y es aprovechar la debilidad humana. Esto se conoce como ingeniería social, y consiste en engañar a alguien para que divulgue información o permita el acceso a redes de datos.

Por ejemplo, un intruso podría hacerse pasar por personal del servicio de asistencia técnica de TI y pedir a los usuarios que proporcionen información como sus nombres de usuario y contraseñas. Y es sorprendente cuántas personas no lo piensan dos veces antes de ofrecer voluntariamente esa información, especialmente si parece que la solicita un representante legítimo.

¿Qué es la ingeniería social?

La ingeniería social es el uso del engaño para manipular a las personas para que permitan el acceso o divulguen información o datos.

Tipos de ataques de ingeniería social

Existen varios tipos, por eso es importante comprender la definición de ingeniería social y cómo funciona. Una vez que se comprende el modus operandi básico, es mucho más fácil detectar ataques de ingeniería social.

Cebo/carnada

El cebo/carnada implica crear una trampa, como una memoria USB cargada con software malicioso. Alguien curioso por ver qué hay en el dispositivo lo coloca en su unidad USB, lo que hace que el sistema se vea comprometido. De hecho, existen memorias USB que puede destruir computadoras cargándose con energía de la unidad USB y luego liberándola en una feroz sobretensión, dañando el dispositivo donde se ingresó. (La memoria USB sólo cuesta $54).

Pretexto

Este ataque utiliza un pretexto para llamar la atención y obligar a la víctima a proporcionar información. Por ejemplo, una encuesta en Internet puede empezar pareciendo bastante inocente pero luego solicitar detalles de la cuenta bancaria. O podría aparecer alguien con un portapapeles y decir que están haciendo una auditoría de los sistemas internos; sin embargo, es posible que no sean quienes dicen ser y podrían querer robarle información valiosa.

Suplantación de identidad

Los ataques de phishing implican un correo electrónico o un mensaje de texto que pretende ser de una fuente confiable y solicita información. Un tipo muy conocido es el correo electrónico supuestamente de un banco que quiere que sus clientes “confirmen” su información de seguridad y los dirige a un sitio falso donde se registrarán sus credenciales de inicio de sesión. El ‘spear phishing‘ se dirige a una sola persona dentro de una empresa y envía un correo electrónico que supuestamente proviene de un ejecutivo de nivel superior de la empresa solicitando información confidencial.

 Vishing y Smishing

Estos tipos de ataques de ingeniería social son variantes del phishing que significa simplemente llamar por teléfono y pedir datos. El delincuente puede hacerse pasar por un compañero de trabajo; por ejemplo, fingir ser del servicio de asistencia técnica de TI y solicitar información de inicio de sesión. Smishing utiliza mensajes SMS para intentar obtener esta información.

Spam de contactos y piratería de correo electrónico

Este tipo de ataque implica piratear el correo electrónico o las cuentas de redes sociales de un individuo para obtener acceso a sus contactos. A los contactos se les puede informar que la persona ha sido asaltada y ha perdido todas sus tarjetas de crédito y luego pedirles que transfieran dinero a una cuenta de transferencia de dinero. O el “amigo” puede reenviar un “vídeo imprescindible” que enlaza con malware o un troyano que registra teclas.

Cómo evitar ataques de ingeniería social

Los ataques de ingeniería social son particularmente difíciles de contrarrestar porque están expresamente diseñados para jugar con las características humanas naturales, como la curiosidad, el respeto por la autoridad y el deseo de ayudar a los amigos. Hay una serie de consejos que pueden ayudar a detectar ataques de ingeniería social.

Comprobar la Fuente

Tómate un momento para pensar de dónde viene la comunicación; no confíes ciegamente en él. ¿Aparece una memoria USB en tu escritorio y no sabes qué es? ¿Una llamada inesperada dice que has heredado 5 millones de dólares? ¿Un correo electrónico de su director ejecutivo solicitando mucha información sobre empleados individuales? Todo esto suena sospechoso y debería tratarse como tal.

• Comprobar la fuente no es difícil. Por ejemplo, con un correo electrónico, mire el encabezado del correo electrónico y verifique los correos electrónicos válidos del mismo remitente.
• Mire adónde van los enlaces: los hipervínculos falsificados son fáciles de detectar simplemente colocando el cursor sobre ellos (¡pero no haga clic en el enlace!).
• Revise la ortografía: los bancos tienen equipos completos de personas calificadas dedicadas a producir comunicaciones con los clientes, por lo que un correo electrónico con Los errores evidentes probablemente sea falsos. En caso de duda, vaya al sitio web oficial y póngase en contacto con un representante oficial, ya que podrá confirmar si el correo electrónico/mensaje es oficial o falso.

La ingeniería social es muy peligrosa porque toma situaciones perfectamente normales y las manipula con fines maliciosos. Sin embargo, si eres plenamente consciente de cómo funciona y tomas precauciones básicas, será mucho menos probable que te conviertas en víctima de la ingeniería social.

Conoce más de estos temas en ESI, con programas en tecnología y ciberseguridad.

#ciberseguridad #resilienciaempresarial #proteccióndedatos

Fuente: Karspersky