QUÉ ES LA INGENIERÍA SOCIAL

En cualquier cadena de seguridad, los humanos son generalmente el eslabón más débil. Aunque las máquinas también puedan ser engañadas, las personas son muy susceptibles de ser víctimas de tácticas manipuladoras. A estas prácticas se las conoce como ingeniería social, y los hackers han desarrollado muchos tipos de ingeniería social para tener acceso a información confidencial y robar datos, dinero y otros bienes.

Puede ahorrarse el tiempo y las molestias de tener que comprobar las fuentes gracias a software antivirus de confianza capaz de detectar mensajes o páginas web sospechosos

Phishing

Análogamente al spam en el correo electrónico, el phishing generalmente se lleva a cabo a través del correo electrónico, pero siempre parece ser legítimo. El phishing es un tipo de ataque de ingeniería social en el que los mensajes parecen provenir de una fuente fiable y están diseñados específicamente para engañar a las víctimas y que revelen sus datos personales o financieros.

Vishing

El vishing, también conocido como phishing por voz, es un tipo sofisticado de ataque de phishing. En estos ataques, se suplanta un número de teléfono para que parezca legítimo, de modo que los atacantes se hacen pasar por técnicos, compañeros de trabajo, personal de informática, etc. Algunos atacantes incluso usan filtros de voz para enmascarar su identidad.

Smishing

El smishing es un tipo de ataque de phishing que toma la forma de mensajes de texto, o SMS. Habitualmente, estos ataques piden a la víctima que realice alguna acción inmediata a través de vínculos maliciosos en los que hacer clic o números de teléfono a los que llamar. A menudo, solicitan a las víctimas que revelen información personal que los atacantes pueden usar para beneficio propio. Los ataques de smishing suelen transmitir una sensación de urgencia

Baiting

Los ataques de ingeniería social no siempre tienen su origen en Internet: también pueden empezar fuera de las redes. El baiting se refiere al caso en el que un atacante deja un dispositivo infectado con malware (por ejemplo, una unidad USB) en algún lugar fácil de encontrar. Estos dispositivos suelen tener etiquetas provocativas para crear curiosidad. Si alguien especialmente curioso (o quizá avaricioso) lo recoge y lo conecta a su equipo, este podría infectarse con malware.

Pretexting

El pretexting es un tipo de ataque de ingeniería social en el que los atacantes se hacen pasar por otra persona para obtener datos personales. Los ataques de pretexting pueden suceder en Internet o fuera de las redes, y ahora es más fácil que nunca que estos delincuentes investiguen y espíen a las posibles víctimas para crear una historia (o pretexto) creíble con la que engañarlas.

Cookies.

Son archivos de texto que se almacenan en el ordenador a través del navegador cuando visitamos una página web, para que esa web los lea en visitas posteriores. Es habitual, por ejemplo, que la segunda vez que visitemos una web de compras online desde el mismo ordenador ya estén completados algunos parámetros, tengamos la configuración que habíamos seleccionado en la visita anterior o incluso tengamos un saludo de bienvenida personalizado. Las cookies pueden ser consideradas spyware no malicioso. No obstante, las cookies hacen posible un seguimiento de las páginas web que hemos visitado y el acceso a nuestros archivos de manera que pueden llegar a saber nuestros gustos y preferencias. Con ello crean listas de posibles clientes que luego venden a empresas comerciales. Por todo ello, es conveniente eliminarlas periódicamente.

Hoaxes.

Son cadenas de correo iniciadas por empresas para poder recopilar las direcciones de correo electrónico de muchos de los usuarios y posteriormente hacer mailings, que constituirán a su vez spam.

La ingeniería social pasiva es una fase de la recolección y análisis de la siguiente información:

•             Revisión de la información publicada sobre la organización probada.

•             Análisis y extracción de toda la información sobre vulnerabilidades encontradas en las pruebas de la infraestructura de TI.

•             Objetivo: obtener cualquier información o conocimiento que pueda mejorar la sofisticación de los ataques de ingeniería social.

Ingeniería social activa que involucra:

•             infiltración física en el edificio de la organización donde es posible interactuar con los otros empleados de la empresa testeada

•             prueba con un medio portátil (USB flash, DVD, CD) que sea fácilmente accesible para todos los empleados de la organización testeada

•             buceo / dumpster diving