Contenidos
La ingeniería social es una amenaza a la ciberseguridad que se aprovecha del eslabón más débil de nuestra cadena de seguridad -la mano de obra humana- para obtener acceso a las redes corporativas. Los atacantes utilizan trucos cada vez más sofisticados y la manipulación emocional para hacer que los empleados, incluso el personal superior, entreguen información sensible. Conozca las etapas de un ataque de ingeniería social, cuáles son las principales amenazas de ingeniería social según el InfoSec Institute y las mejores prácticas para defenderse de ellas.
En un ataque de phishing, un atacante utiliza un mensaje enviado por correo electrónico, redes sociales, clientes de mensajería instantánea o SMS para obtener información sensible de una víctima o engañarla para que haga clic en un enlace a un sitio web malicioso.
Los mensajes de phishing captan la atención de la víctima y la llaman a la acción despertando su curiosidad, pidiéndole ayuda o provocando otros desencadenantes emocionales. A menudo utilizan logotipos, imágenes o estilos de texto para suplantar la identidad de una organización, haciendo parecer que el mensaje procede de un compañero de trabajo, del banco de la víctima o de otro canal oficial. La mayoría de los mensajes de phishing utilizan un sentido de urgencia, haciendo creer a la víctima que habrá consecuencias negativas si no entrega rápidamente la información sensible.
Ataque de suplantación de identidad
Los ataques de ingeniería social representan una parte masiva de todos los ciberataques, y los estudios muestran que estos ataques van en aumento. Según KnowBe4, más del 90% de los hackeos y violaciones de datos que tienen éxito comienzan con un tipo común de ataque de ingeniería social llamado phishing.
Los ingenieros sociales son astutos y utilizan tácticas de manipulación para engañar a sus víctimas para que revelen información privada o sensible. Una vez que el ingeniero social ha engañado a su víctima para que le proporcione esta información, puede utilizarla para continuar con sus ataques.
El phishing es una técnica de ingeniería social en la que un atacante envía mensajes de correo electrónico fraudulentos, diciendo que provienen de una fuente fiable y de buena reputación. Por ejemplo, un ingeniero social puede enviar un correo electrónico que parezca provenir de un gerente de éxito de clientes de su banco. Podría decir que tiene información importante sobre su cuenta, pero le pide que responda primero con su nombre completo, fecha de nacimiento, número de seguridad social y número de cuenta para poder verificar su identidad. En última instancia, la persona que envía el correo electrónico no es un empleado del banco; es una persona que intenta robar datos privados.
Phishing
En el contexto de la seguridad de la información, la ingeniería social es la manipulación psicológica de las personas para que realicen acciones o divulguen información confidencial. Esto difiere de la ingeniería social dentro de las ciencias sociales, que no se refiere a la divulgación de información confidencial. Se trata de un tipo de truco de confianza con el fin de obtener información, hacer un fraude o acceder a un sistema, y se diferencia de una “estafa” tradicional en que suele ser uno de los muchos pasos de un esquema de fraude más complejo[1].
Un ejemplo de ingeniería social es el uso de la función “olvido de contraseña” en la mayoría de los sitios web que requieren un inicio de sesión. Un sistema de recuperación de contraseñas mal protegido puede utilizarse para conceder a un atacante malintencionado acceso completo a la cuenta de un usuario, mientras que el usuario original perderá el acceso a la cuenta.
El comportamiento de los empleados puede tener un gran impacto en la seguridad de la información en las organizaciones. Los conceptos culturales pueden ayudar a los diferentes segmentos de la organización a trabajar eficazmente o a trabajar en contra de la eficacia hacia la seguridad de la información dentro de una organización. “Exploring the Relationship between Organizational Culture and Information Security Culture” proporciona la siguiente definición de cultura de seguridad de la información “La cultura de la seguridad de la información es el conjunto de patrones de comportamiento en una organización que contribuyen a la protección de la información de todo tipo”[3].
Amenaza interna
La ingeniería social es una técnica de manipulación que aprovecha el error humano para obtener información privada, acceso u objetos de valor. En la ciberdelincuencia, estas estafas de “hacking humano” tienden a atraer a usuarios desprevenidos para que expongan datos, propaguen infecciones de malware o den acceso a sistemas restringidos. Los ataques pueden producirse en línea, en persona y a través de otras interacciones.
Las estafas basadas en la ingeniería social se basan en la forma de pensar y actuar de las personas. Como tal, los ataques de ingeniería social son especialmente útiles para manipular el comportamiento de un usuario. Una vez que un atacante entiende lo que motiva las acciones de un usuario, puede engañarlo y manipularlo eficazmente.
Además, los hackers intentan explotar la falta de conocimiento de un usuario. Gracias a la velocidad de la tecnología, muchos consumidores y empleados no son conscientes de ciertas amenazas, como las descargas no autorizadas. También es posible que los usuarios no se den cuenta del valor total de los datos personales, como su número de teléfono. Como resultado, muchos usuarios no están seguros de cómo protegerse a sí mismos y a su información.