La ingeniería social es un método de intrusión no técnico que los hackers usan y depende en gran medida de la interacción humana e implica a menudo engañar a la gente para romper procedimientos normales de seguridad.
Es una de las mayores amenazas que enfrentan las organizaciones de hoy en día.
¿Por qué se realiza la ingeniería social?
La ingeniería social es un componente de muchos - si no es que de todos - los tipos de vulnerabilidades. Los creadores de virus utilizan tácticas de ingeniería social para persuadir a la gente para ejecutar los archivos adjuntos de correo electrónico con malware, los phishers utilizan la ingeniería social para convencer a la gente a revelar información sensible, y los vendedores de scareware utilizan la ingeniería social para asustar a la gente para que ejecute el software que lo extorsionara.
¿Cómo se realiza un ataque de ingeniería social?
Un ingeniero social ejecuta su ataque usando midiendo a la victima. Por ejemplo, una persona que utiliza la ingeniería social para entrar en una red informática podría tratar de ganarse la confianza de un usuario autorizado y conseguir que revele información que comprometa la seguridad de la red. Los ingenieros sociales a menudo dependen de la amabilidad natural de las personas, así como en sus debilidades. Podrían, por ejemplo, llamar al empleado autorizado con algún tipo de problema urgente que requiere acceso a la red inmediata. Apelando a la vanidad, apelando a la autoridad, apelando a la codicia, el clásico espionaje es otra de las técnicas típicas de la ingeniería social.
Tipos de ataques de ingeniería social
 |
| INGENIERÍA SOCIAL: La manipulación inteligente de la tendencia natural humana a confiar. |
¿Por qué se realiza la ingeniería social?
La ingeniería social es un componente de muchos - si no es que de todos - los tipos de vulnerabilidades. Los creadores de virus utilizan tácticas de ingeniería social para persuadir a la gente para ejecutar los archivos adjuntos de correo electrónico con malware, los phishers utilizan la ingeniería social para convencer a la gente a revelar información sensible, y los vendedores de scareware utilizan la ingeniería social para asustar a la gente para que ejecute el software que lo extorsionara.
¿Cómo se realiza un ataque de ingeniería social?
Un ingeniero social ejecuta su ataque usando midiendo a la victima. Por ejemplo, una persona que utiliza la ingeniería social para entrar en una red informática podría tratar de ganarse la confianza de un usuario autorizado y conseguir que revele información que comprometa la seguridad de la red. Los ingenieros sociales a menudo dependen de la amabilidad natural de las personas, así como en sus debilidades. Podrían, por ejemplo, llamar al empleado autorizado con algún tipo de problema urgente que requiere acceso a la red inmediata. Apelando a la vanidad, apelando a la autoridad, apelando a la codicia, el clásico espionaje es otra de las técnicas típicas de la ingeniería social.
Tipos de ataques de ingeniería social
- Baiting. Baiting (carnada) es cuando un atacante deja un dispositivo físico infectados con malware, como una unidad flash USB o un CD-ROM, en un lugar que está seguro que sera encontrado. El que lo encuentra luego toma el dispositivo y lo pone en su computadora, instalando involuntariamente el malware.
- Phishing. El phishing es cuando una persona maliciosa envía un correo electrónico fraudulento disfrazado de correo electrónico legítimo, a menudo pretende ser de una fuente confiable. El mensaje tiene la intención de engañar al destinatario para instalar malware en su computadora o dispositivo, o compartir información personal o financiera.
- Pretexting. Pretexting es cuando una de las partes miente a otro para obtener acceso a datos privilegiados. Por ejemplo, una estafa pretexto podría implicar un atacante que se hace pasar por alquien que necesitar datos personales o financieros con el fin de confirmar la identidad del receptor.
- Quid pro quo. Un quid pro quo es cuando un atacante solicita información personal de un partido a cambio de algo deseable. Por ejemplo, un atacante podría solicitar credenciales de acceso a cambio de un regalo.
- Correo No Deseado. El spam es correo basura no solicitado.
- Spear phishing. Spear phishing es como phishing, pero a la medida para un individuo u organización específica. En estos casos, el atacante es probable que este intentando descubrir información confidencial específica de la organización receptora a fin de obtener datos secretos comerciales o financieros.
- Tailgating. El tailgating es cuando un usuario no autorizado sigue a uno autorizado en una ubicación segura, por lo general para robar propiedad valiosa o información confidencial. Esto a menudo implica subvertir el acceso tarjeta de acceso a un edificio seguro o área siguiendo rápidamente detrás de un usuario autorizado y agarrando la puerta u otro mecanismo de acceso antes de que esta se cierre.
¿Cómo contrarrestar la ingeniería social?
Crear conciencia de seguridad puede recorrer un largo camino en la prevención de ataques de ingeniería social. Si la gente sabe que tipos de ataque de ingeniería social puede enfrentar, serán menos propensos a ser víctimas de el. Las organizaciones también realizan pruebas de penetración utilizando técnicas de ingeniería social. Esto permite que los equipos de seguridad sepan que los usuarios plantean un riesgo y por lo tanto puede tomar medidas para remediar ese riesgo. El kit de herramientas de ingeniería social (SET) es una herramienta útil para crear ataques de ingeniería social.
Otro aspecto de la ingeniería social se basa en la incapacidad de las personas para seguir el ritmo de una cultura que se basa en gran medida en la tecnología de la información. Los ingenieros sociales se basan en el hecho de que las personas no son conscientes del valor de la información que poseen y son descuidados en su protección. Con frecuencia, los ingenieros sociales buscarán los contenedores de basura para obtener información valiosa, memorizar los códigos de acceso viendo sobre el hombro de alguien, o aprovechar la tendencia natural de las personas a elegir contraseñas que son significativos para ellos, pero se puede adivinar fácilmente.
Sin duda recordaran al ingeniero social mas famoso de nuestros tiempos, el hacker Kevin Mitnick quien ha escrito libros acerca de esta técnica.
Manténganse alerta.
