Ingeniería social: sus riesgos y cómo proteger tu información | Ventana EBC
Fb. In. Tw. Be.
Ingeniería social: sus riesgos y cómo proteger tu información

Ingeniería social: sus riesgos y cómo proteger tu información

Tiempo de lectura: 4.5 minutos

Autor:

Zabdi Lizbeth Chabolla González, Ex alumna de Posgrado de la Escuela Bancaria y Comercial

Gerente de Seguridad y Cumplimiento Smurfit Kappa México

Ingeniería social: sus riesgos y cómo proteger tu información

Hoy aprovecho este espacio para platicarte sobre ingeniería social. Este tema es tan interesante que, a pesar de existir desde hace muchos años, con el avance tecnológico y la llegada de la era digital han sido el escenario perfecto para influir en muchas de nuestras decisiones. Nos creemos libres y dueños de nuestras conductas cuando, en realidad, siempre estamos siendo influenciados para controlar cada uno de nuestros movimientos.

¿Qué es la ingeniería social?

Algunos definen la ingeniería social como un intento por controlar el pensamiento, las creencias y los comportamientos de la población. Por tanto, son muchos los ámbitos y los escenarios que harán uso de esta táctica para obtener beneficio hasta el punto de que nada es casual. 

 

Todo lo que vemos en los medios, hacemos en dispositivos electrónicos o leemos en redes sociales tiene un porqué y responde a los algoritmos creados para obtener patrones de comportamiento. De tal forma que nos pueden ayudar a reforzarlos o cambiarlos, tal como lo hace la publicidad para que compremos algún producto en específico.

 

La ingeniería social, en la seguridad de la información, es el proceso de manipular a las personas para que realicen acciones que violan protocolos de seguridad. 

 

Hace referencia a un conjunto de técnicas que utilizan los criminales cibernéticos para engañar a los usuarios finales y obtener datos confidenciales, infectar sus computadoras con malware (software malicioso) o para que abran links de sitios infectados. Su objetivo final siempre será obtener ventaja de la situación para pedir algo a cambio de regresarnos la información y/o control de nuestros dispositivos. 

 

Por ello, siempre debemos estar muy atentos a lo que recibimos en medios electrónicos, las páginas que consultamos, a quién damos nuestros datos personales y, sobre todo, al tipo de links que ingresamos. 

 

Todos ellos, utilizan nuestros sesgos cognitivos para hacernos confiar en quien no debemos. Damos por válidos estímulos o situaciones que, por resultarnos familiares, hacen que no veamos el riesgo que esto implica.

Zabdi Lizbeth Chabolla González autora del artículo: ingeniería social: sus riesgos y cómo proteger tu información

¿Cuáles son los tipos de ataque de ingeniería social?

Los ataques de ingeniería social explotan características humanas como la confianza básica en los demás, el deseo de brindar asistencia o la propensión a lucirse. Numerosos trabajadores y consumidores no se dan cuenta que, con algunos datos (nombre, la fecha de nacimiento o dirección), los atacantes pueden acceder a múltiples redes haciéndose pasar por usuarios legítimos o miembros del personal de TI.

 

Los ataques más comunes de ingeniería social en medios digitales son:

  • Shoulder Surfing

Es un ataque de seguridad donde se usan técnicas de observación, como mirar por encima del hombro de alguien, para obtener información mientras se desempeñan alguna acción que implica el uso explícito de información sensible y visible.

  • Spam 

Correos electrónicos de contactos que no tenemos en nuestra lista y que por lo general esconden en ellos serias estafas.

Correos electrónicos que parecen provenir de una fuente fiable, quizá cambiando solo una letra del dominio original, para robar datos personales o financieros.

  • Whalling

Ataque de phishing específicamente dirigido a los altos ejecutivos de la empresa, llamado así ya que se considera que la víctima es de alto valor, y la información robada será más valiosa de lo que un empleado regular puede ofrecer.

  • Baiting: 

Hace uso de dispositivos infectados con malware (software malicioso).

  • Dumpster Diving 

Método de búsqueda a través del contenedor de basura para obtener información potencialmente útil.

  • Smishing

Usa mensajes de texto (SMS) para obtener información personal como contraseñas o números de tarjetas de crédito a través de links no confiables. 

  • Pretexting

Los atacantes se hacen pasar por personas conocidas para obtener nuestra información.

También existen otros métodos más complejos que los atacantes utilizan para obtener nuestra información confidencial, por ejemplo:

  • Los clientes de un banco recibieron un correo electrónico falso que aseguraba provenir de la institución. Pedía al cliente que confirmara sus códigos de acceso. 

El método de confirmación no se realizó a través de las rutas usuales de correo electrónico o Internet. El atacante pidió a los clientes que imprimieran el formulario, lo completaran con sus datos y que lo enviaran por fax a su número.

  • En Japón, un atacante usó un servicio de entrega a domicilio para distribuir CDs infectados con virus. Los discos se entregaron a los clientes de un banco del cual habían sido robadas las bases de datos con las direcciones de sus clientes.

Como puedes notar, la ingeniería social digital es cada vez más sofisticada. Con los constantes avances tecnológicos y la llegada de la inteligencia artificial debemos ser más atentos y hábiles para detectar los diferentes mecanismos que utilizan los atacantes para el robo de nuestros datos.

El phishing es una de los ataques de ingeniería social más comunes.
¿Cómo prevenir ataques de ingeniería social?

Es muy importante estar siempre alerta y desarrollar una conducta adecuada al utilizar cualquier tipo de dispositivo y/o equipo:

  1. No revelar información personal ni datos confidenciales (credenciales, números de tarjetas de crédito, cuentas bancarias, etc.) por teléfono, email o servicios de mensajería instantánea.
  2. Tener cuidado al compartir información, evitar exponerse en internet y en redes sociales publicando información personal (número de teléfono, dirección, hábitos, etc.). 
  3. Verificar archivos adjuntos, no descargarlos si se desconoce su contenido, aunque provengan de un contacto conocido.
  4. Instalar y mantener siempre actualizado un antivirus en todos los dispositivos.

La principal manera de mitigar los ataques de ingeniería social es la formación y concienciación de los usuarios en buenas prácticas de seguridad de la información y en el cumplimiento de las políticas y procedimientos de seguridad de las organizaciones. Para ello, podemos utilizar alguna de las siguientes estrategias:

  • Entrenamientos de Concientización de Seguridad

Cada persona en la organización debe recibir capacitación básica sobre seguridad. Así, no dará información sin la autorización apropiada y para que se informe de cualquier comportamiento sospechoso.

  • Seguridad Física

Mecanismo de control de acceso. Adecuado para asegurarse que solo a las personas autorizadas se les permite el acceso a secciones restringidas y/o información confidencial de la organización.

  • Fuga de Información

Monitoreo constante del flujo de información para poder identificar irregularidades de forma inmediata.

  • Simulacros de ingeniería social

Enviar correos similares a phishing ayuda a entrenar a los empleados en cómo identificarlos.

  • Política de clasificación de datos

Debe haber una clasificación adecuada de los datos en función de sus niveles de criticidad y el personal de acceso.

Los usuarios necesitan aprender a no hacer clic en enlaces sospechosos y siempre deben proteger sus credenciales de inicio de sesión, en la oficina y hogar. Sin el conocimiento y la capacitación adecuados puede ser el eslabón más débil y la puerta de entrada a cualquier persona en el mundo.

 

Numeraria de interés:

El 87% de los ataques cibernéticos ocurren en aplicaciones de colaboración en la nube y la mayoría involucra instalación de malware.

 

Fuentes

ISACA

 

¿Te interesa ser un profesional capaz de desarrollar soluciones tecnológicas automatizadas e integradas en la nube mediante el uso de herramientas digitales que hagan eficiente la operación, otorguen seguridad y generen crecimiento en las empresas? Conoce más aquí 

¿Te gustó esta nota?

¡Califícala!

Promedio 5 / 5. Conteo 2

¡Sé el primero en votar!



You don't have permission to register
Ajustar textos-+=