Sociología y comunicación

¿Qué es Ingeniería Social (Social Engineering)?

La ingeniería social es cuando los piratas informáticos utilizan técnicas psicológicas para obtener acceso a los sistemas de TI a través de la interacción humana y el engaño. Los piratas informáticos pueden realizar ingeniería social por teléfono, por correo electrónico, incluso en persona.

Un pirata informático puede ingresar a un sistema en varios niveles, como a través de vulnerabilidades de seguridad, credenciales robadas o malware. A veces, el software de seguridad de un sistema es demasiado fuerte o engorroso para que un pirata informático lo navegue. Cuando este sea el caso, pondrán su pie en la puerta explotando las vulnerabilidades humanas.

Los piratas informáticos han utilizado la ingeniería social para obtener acceso a salas de servidores, robar contraseñas y descargar malware físicamente en los dispositivos, todo sin tener que escribir una sola línea de código.

Un ejemplo importante de un ataque de ingeniería social son los correos electrónicos de phishing. Estos falsifican correos electrónicos legítimos para robar los datos de inicio de sesión y pago de una víctima.

Ingeniería social y los seis principios de influencia

Malos actores famosos por piratear computadoras… La ingeniería social implica piratear la mente humana, confiando en las convenciones sociales, la ignorancia y la buena fe de sus víctimas.

Los piratas informáticos utilizan los seis principios de la influencia social, que fueron delineados por el profesor de marketing y psicología Robert Cialdini en 1984. Estos principios afectan la forma en que los humanos interactúan entre sí y pueden utilizarse como una herramienta persuasiva. Son los siguientes:

Reciprocidad: la gente generalmente quiere pagar a quienes les dan algo, ya sea un favor, información o un objeto. Los piratas informáticos aprovechan esto para atraer a sus objetivos con consejos o información "útiles" sobre productos y ofertas, o enviándoles pequeños obsequios para ganarse su confianza.

Compromiso: las personas tienden a respetar los acuerdos que han escrito o consentido. A veces, los piratas informáticos engañan a las víctimas haciéndoles creer que se han registrado en un servicio o suscripción y las obligan a cumplir su "compromiso" con los datos de pago y de inicio de sesión.

Prueba social: mono ve, mono hace. Las personas seguirán lo que ven que hacen otras personas, ya sea una figura de confianza que usa el mismo producto o que está en línea con todos los demás, incluso si no hay una señal para hacerlo. Los piratas informáticos están usando esto con frases como "Debbie, en contabilidad, me envió sus contraseñas; también necesitaré la tuya".

Autoridad: las personas seguirán las órdenes de las figuras de autoridad con menos discreción que las órdenes de sus compañeros. Esta es la razón por la que los piratas informáticos a menudo se hacen pasar por gerentes o jefes cuando obtienen acceso. También es la razón por la que entrar a hurtadillas en lugares vestidos como una persona de autoridad, como un trabajador de la construcción o un electricista, a menudo no genera preguntas ni ningún escrutinio.

Gusto: similar a ceder ante la autoridad, las personas generalmente seguirán las órdenes de las personas que les agradan. Los piratas informáticos confían en esto haciéndose pasar por amigos o miembros de la familia o estableciendo una relación con su objetivo antes de realizar un ataque.

Escasez: si algo es raro o limitado, se vuelve más deseable o urgente. Esta es la razón por la que muchos ataques de ransomware y correos electrónicos de phishing tendrán temporizadores adjuntos, desorientando a las víctimas y haciéndolas entrar en pánico.

Los piratas informáticos utilizarán la ingeniería social en diversos grados. A veces, usarán estas técnicas para obtener acceso de bajo nivel. Comenzarán con una simple llamada telefónica, se pondrán en contacto con un empleado de bajo nivel, obtendrán sus credenciales y avanzarán en el sistema desde allí.

Otras veces, los ataques son más directos y dependen de correos electrónicos generalizados para obtener miles de credenciales para vender en la Dark Web o para obtener acceso directo a la sala de servidores de una empresa.

Suplantación de identidad

El phishing es uno de los tipos de ataques de ingeniería social más nefastos y frecuentes. Desde principios hasta mediados de 2020 se registró un aumento del 350% en los ataques de phishing con respecto al año anterior.

El phishing se usa comúnmente para referirse a correos electrónicos falsos. Estos correos electrónicos se harán pasar por comunicación de una entidad legítima, como una compañía eléctrica. Los correos electrónicos tendrán un enlace al sitio de la empresa, que en realidad es falso, creado por los piratas informáticos, pidiendo a los usuarios que inicien sesión o envíen sus detalles de pago. Luego, el sitio robará las credenciales.

Vishing

Vishing se refiere al phishing de voz, que es cuando los piratas informáticos utilizan conversaciones telefónicas para robar información o credenciales. Al igual que los correos electrónicos de phishing, se harán pasar por un negocio legítimo o incluso fingirán ser un compañero de trabajo, un jefe o un socio comercial.

Smishing

Smishing, o phishing por SMS, funciona de manera similar al phishing por correo electrónico. Los piratas informáticos utilizan números de apariencia legítima (a veces robados de un teléfono pirateado) para enviar enlaces maliciosos o obligar a los usuarios a enviar su información por teléfono.

Spear phishing

El spear phishing es una forma de phishing altamente dirigida y utilizará información más detallada, a menudo obtenida de las redes sociales, sitios web públicos o ataques de ingeniería social anteriores, para diseñar su enfoque hacia el usuario. El pirata informático puede referirse a nombres de empleados específicos, usar la dirección de correo electrónico robada de un gerente o hacerse pasar por un correo electrónico de un ejecutivo de alto nivel.

Prevención de ataques de ingeniería social

La clave para prevenir ataques de ingeniería social es capacitar a los empleados para que se detengan y piensen antes de entregar información confidencial.

Para evitar el phishing, los administradores deben tener un filtro de correo electrónico sólido y un firewall que pueda detectar enlaces maliciosos y filtrar los correos electrónicos de direcciones IP sospechosas. Los usuarios deben saber que nunca deben usar un enlace enviado por correo electrónico para acceder a un sitio web o página de inicio de sesión. En su lugar, deben acceder al sitio directamente a través de un navegador seguro.

Los administradores e ingenieros de seguridad deben capacitar a los empleados en todos los niveles para que sigan los protocolos de seguridad y las mejores prácticas.

Todos los empleados deben practicar una buena higiene de contraseñas y mantener sus dispositivos actualizados. Los empleados de nivel superior deben respetar el protocolo si se les niega el acceso o los privilegios de administrador. Esto se debe a que los piratas informáticos a menudo se hacen pasar por ejecutivos impacientes por obtener acceso remoto de empleados más jóvenes.

Los empleados de nivel inferior, a su vez, deben utilizar un método de escalamiento en serie al otorgar estos privilegios. Deben consultar con sus supervisores y asegurarse de que se hayan establecido los puntos de control correctos. Esto es para que las personas correctas tengan el nivel correcto de acceso.

Ingeniería social: conclusiones clave

• La ingeniería social es cuando los piratas informáticos utilizan técnicas psicológicas para obtener acceso a un sistema de TI a través de caminos humanos.

• Los piratas informáticos se basan en los seis principios de la influencia social: reciprocidad, compromiso, prueba social, autoridad, agrado y escasez en su enfoque.

• Ataques como el phishing engañan a los usuarios para que entreguen su información de inicio de sesión y pago, y han aumentado exponencialmente en 2020.

• Los empleadores deben educar a sus empleados sobre las técnicas de ingeniería social y asegurarse de que se implementen las medidas de seguridad adecuadas.

(*) Marlese Lessing es Studios Editor en sdxcentral.com.

Imagen de cabecera: 5 Common Social Engineering Tactics and How to Identify Them (imprivata.com).

Fuente: Marlese Lessing (*) – sdxcentral.com

Publicaciones relacionadas

Botón volver arriba