Ingeniería social: sus riesgos y cómo proteger tu información
Tiempo de lectura: 4.5 minutos
Autor:
Zabdi Lizbeth Chabolla González, Ex alumna de Posgrado de la Escuela Bancaria y Comercial
Gerente de Seguridad y Cumplimiento Smurfit Kappa México
Hoy aprovecho este espacio para platicarte sobre ingeniería social. Este tema es tan interesante que, a pesar de existir desde hace muchos años, con el avance tecnológico y la llegada de la era digital han sido el escenario perfecto para influir en muchas de nuestras decisiones. Nos creemos libres y dueños de nuestras conductas cuando, en realidad, siempre estamos siendo influenciados para controlar cada uno de nuestros movimientos.
¿Qué es la ingeniería social?
Algunos definen la ingeniería social como un intento por controlar el pensamiento, las creencias y los comportamientos de la población. Por tanto, son muchos los ámbitos y los escenarios que harán uso de esta táctica para obtener beneficio hasta el punto de que nada es casual.
Todo lo que vemos en los medios, hacemos en dispositivos electrónicos o leemos en redes sociales tiene un porqué y responde a los algoritmos creados para obtener patrones de comportamiento. De tal forma que nos pueden ayudar a reforzarlos o cambiarlos, tal como lo hace la publicidad para que compremos algún producto en específico.
La ingeniería social, en la seguridad de la información, es el proceso de manipular a las personas para que realicen acciones que violan protocolos de seguridad.
Hace referencia a un conjunto de técnicas que utilizan los criminales cibernéticos para engañar a los usuarios finales y obtener datos confidenciales, infectar sus computadoras con malware (software malicioso) o para que abran links de sitios infectados. Su objetivo final siempre será obtener ventaja de la situación para pedir algo a cambio de regresarnos la información y/o control de nuestros dispositivos.
Por ello, siempre debemos estar muy atentos a lo que recibimos en medios electrónicos, las páginas que consultamos, a quién damos nuestros datos personales y, sobre todo, al tipo de links que ingresamos.
Todos ellos, utilizan nuestros sesgos cognitivos para hacernos confiar en quien no debemos. Damos por válidos estímulos o situaciones que, por resultarnos familiares, hacen que no veamos el riesgo que esto implica.
¿Cuáles son los tipos de ataque de ingeniería social?
Los ataques de ingeniería social explotan características humanas como la confianza básica en los demás, el deseo de brindar asistencia o la propensión a lucirse. Numerosos trabajadores y consumidores no se dan cuenta que, con algunos datos (nombre, la fecha de nacimiento o dirección), los atacantes pueden acceder a múltiples redes haciéndose pasar por usuarios legítimos o miembros del personal de TI.
Los ataques más comunes de ingeniería social en medios digitales son:
Shoulder Surfing
Es un ataque de seguridad donde se usan técnicas de observación, como mirar por encima del hombro de alguien, para obtener información mientras se desempeñan alguna acción que implica el uso explícito de información sensible y visible.
Spam
Correos electrónicos de contactos que no tenemos en nuestra lista y que por lo general esconden en ellos serias estafas.
Correos electrónicos que parecen provenir de una fuente fiable, quizá cambiando solo una letra del dominio original, para robar datos personales o financieros.
Whalling
Ataque de phishing específicamente dirigido a los altos ejecutivos de la empresa, llamado así ya que se considera que la víctima es de alto valor, y la información robada será más valiosa de lo que un empleado regular puede ofrecer.
Baiting:
Hace uso de dispositivos infectados con malware (software malicioso).
Dumpster Diving
Método de búsqueda a través del contenedor de basura para obtener información potencialmente útil.
Smishing
Usa mensajes de texto (SMS) para obtener información personal como contraseñas o números de tarjetas de crédito a través de links no confiables.
Pretexting
Los atacantes se hacen pasar por personas conocidas para obtener nuestra información.
También existen otros métodos más complejos que los atacantes utilizan para obtener nuestra información confidencial, por ejemplo:
- Los clientes de un banco recibieron un correo electrónico falso que aseguraba provenir de la institución. Pedía al cliente que confirmara sus códigos de acceso.
El método de confirmación no se realizó a través de las rutas usuales de correo electrónico o Internet. El atacante pidió a los clientes que imprimieran el formulario, lo completaran con sus datos y que lo enviaran por fax a su número.
- En Japón, un atacante usó un servicio de entrega a domicilio para distribuir CDs infectados con virus. Los discos se entregaron a los clientes de un banco del cual habían sido robadas las bases de datos con las direcciones de sus clientes.
Como puedes notar, la ingeniería social digital es cada vez más sofisticada. Con los constantes avances tecnológicos y la llegada de la inteligencia artificial debemos ser más atentos y hábiles para detectar los diferentes mecanismos que utilizan los atacantes para el robo de nuestros datos.
¿Cómo prevenir ataques de ingeniería social?
Es muy importante estar siempre alerta y desarrollar una conducta adecuada al utilizar cualquier tipo de dispositivo y/o equipo:
- No revelar información personal ni datos confidenciales (credenciales, números de tarjetas de crédito, cuentas bancarias, etc.) por teléfono, email o servicios de mensajería instantánea.
- Tener cuidado al compartir información, evitar exponerse en internet y en redes sociales publicando información personal (número de teléfono, dirección, hábitos, etc.).
- Verificar archivos adjuntos, no descargarlos si se desconoce su contenido, aunque provengan de un contacto conocido.
- Instalar y mantener siempre actualizado un antivirus en todos los dispositivos.
La principal manera de mitigar los ataques de ingeniería social es la formación y concienciación de los usuarios en buenas prácticas de seguridad de la información y en el cumplimiento de las políticas y procedimientos de seguridad de las organizaciones. Para ello, podemos utilizar alguna de las siguientes estrategias:
- Entrenamientos de Concientización de Seguridad
Cada persona en la organización debe recibir capacitación básica sobre seguridad. Así, no dará información sin la autorización apropiada y para que se informe de cualquier comportamiento sospechoso.
- Seguridad Física
Mecanismo de control de acceso. Adecuado para asegurarse que solo a las personas autorizadas se les permite el acceso a secciones restringidas y/o información confidencial de la organización.
- Fuga de Información
Monitoreo constante del flujo de información para poder identificar irregularidades de forma inmediata.
- Simulacros de ingeniería social
Enviar correos similares a phishing ayuda a entrenar a los empleados en cómo identificarlos.
- Política de clasificación de datos
Debe haber una clasificación adecuada de los datos en función de sus niveles de criticidad y el personal de acceso.
Los usuarios necesitan aprender a no hacer clic en enlaces sospechosos y siempre deben proteger sus credenciales de inicio de sesión, en la oficina y hogar. Sin el conocimiento y la capacitación adecuados puede ser el eslabón más débil y la puerta de entrada a cualquier persona en el mundo.
Numeraria de interés:
El 87% de los ataques cibernéticos ocurren en aplicaciones de colaboración en la nube y la mayoría involucra instalación de malware.
Fuentes
¿Te interesa ser un profesional capaz de desarrollar soluciones tecnológicas automatizadas e integradas en la nube mediante el uso de herramientas digitales que hagan eficiente la operación, otorguen seguridad y generen crecimiento en las empresas? Conoce más aquí
