¿Cómo la ingeniería social se aprovecha de las vulnerabilidades humanas?

Puede ser que usted ya haya escuchado de la ingeniería social, al ser un conjunto de ciberataques comunes. Se práctica a través de la manipulación psicológica para obtener información confidencial y se aprovecha de las vulnerabilidades humanas para lograr con éxito su cometido.

Su metodología no es técnica, no se manejan patrones semejantes a los de un ataque de un software; además, su principio es el de engañar mediante la interacción humana que capta como brecha de seguridad la falta de conocimiento, la ingenuidad y a usuarios incautos.

Tipos, funciones y casos de ataques de la ingeniería social

Como la naturaleza de la ingeniería social se basa en las reacciones humanas, existen diversas formas de atacar; así lo menciona el antivirus Norton mediante su artículo “Amenazas emergentes”, las cuales se pueden efectuar con o sin conexión digital. Estos son algunos de los ataques que conforma la ingeniería social.

1.      Carnada

Aquí se juega con la curiosidad y la avaricia de las personas, utilizando una carnada para que la víctima actué conforme a lo planeado. Es decir, al utilizar la carnada o baiting se hace uso de una promesa para atraer a la persona interesada. Los atacantes, también llamados baiters, pueden hacer uso de diversos elementos como, usbs, descargas gratuitas, películas y música.

Por ejemplo: dejar como carnada un equipo electrónico para que se conecte a un puerto de entrada es una manera para comenzar a atacar los equipos de la víctima y comenzar con el robo de información.

Un caso presentando como carnada fue el de MERS en 2015. El diario El Comercio mencionó que los atacantes usaban una cuenta de Yahoo Mail para enviar el archivo sin ser detectados por el filtro de spam. Los criminales tenían acceso a los datos de la víctima a través de un email con el nombre de “Prevención del Síndrome Respiratorio de Oriente Medio (MERS)”,  en el cual se encontraba un archivo de Windows que al abrirse mostraba una página sobre el MERS, realizando la instalación del backdoor ZXShell, un software malicioso que obtenía la información sensible de los ordenadores y de la red interconectada remotamente.

2.      Phishing

Se le conoce como la suplantación de identidad para adquirir información de manera ilegal. Son mensajes de correo electrónico que aparentemente pareciera que proviniera de entidades oficiales, solicitando generalmente modificaciones específicas de su cuenta. El proceso de ingeniería social está en enviar un enlace trampa para que la víctima proporcione la información solicitada.

Uno de los casos más actuales se presentó con Netflix, el canal de tecnología AETecno mencionó que los atacantes enviaron un correo supuestamente proveniente de la plataforma, indicando que había ocurrido alguna actividad sospechosa y que se necesitaba verificar la información de inicio de sesión de la misma.

3.      Quid Pro Quo

Quid Pro Quo, es una técnica de ingeniería social que significa “sustitución de una cosa por otra”. Se hace uso de ofertas tentadoras con el que los usuarios puede adquirir algo que aparentemente los va a beneficiar; haciendo uso de formularios para obtener la información.

Los ejemplos más comunes están al ofrecer descuentos, promociones, premios y objetos de valor.

4.      Farming

Es la ingeniería social donde se genera una relación con mayor duración, lo importante aquí es ganarse la confianza del usuario. A medida que se va compartiendo e interactuando se van captando una gran cantidad de datos informativos.

¿Cómo evitar ataques de ingeniería social?

Tenga en cuenta los siguientes tips para evitar la ingeniería social al actuar a través de medios digitales, además de los ataques offline.

  • Haga uso de su sentido común, sea consciente de sus debilidades y evite que los cibercriminales se den cuenta de sus brechas de seguridad.
  • No revele datos confidenciales, conozca los trámites y los medios donde le piden su información.
  • Desconfíe de los medios en los que le solicitan información confidencial.
  • Haga uso de un buen software de seguridad informática para que softwares maliciosos no controlen su información privada.
  • No haga clic a enlaces con procedencia extraña.
  • No confíe en direcciones de correo electrónico y números que aparentemente hacen parte de una entidad oficial.
  • Salga de toda duda y comuníquese con la entidad que le está solicitando información adicional.

 

Déjanos un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

SUSCRÍBASE A NUESTRO NEWSLETTER