Ingeniería social y ciberseguridad
En ciberseguridad, hablamos de Ingeniería Social cuando nos referimos al método que utilizan los ciberdelincuentes para hacerse con la confianza del usuario y poder así conseguir engañarle o manipularle para conseguir sus objetivos.
Esto puede consistir en la ejecución de un malware, obtener sus claves de uso privado, transferencias bancarias de dinero, o compras en sitios webs fraudulentos.
Una técnica muy habitual en la Ingeniería Social es tratar de confundir a los usuarios para que abran enlaces a sitios infectados, pongan sus claves personales, simulando ser un página auténtica, como por ejemplo, de una entidad financiera.
Ejemplos de ingeniería social
Un ejemplo de ingeniría social sería engañar a alguien para que divulgue información confidencial como su contraseña o claves de acceso.
Otro ejemplo podría ser manipular a una persona para que mantenga la puerta abierta de la oficina de la Compañía, de manera que alguien pueda colarse en el edificio evitando así las medidas de seguridad.
Otro ejemplo sería hacerse pasar por un responsable de soporte técnico o compañero, alguien de confianza y tratar de engañar al usuario para suplantar su identidad.
Como veis, los malhechores tienen un sinfín de tretas y artimañas listos para poder hacerse con nuestros datos.
¿Cómo nos protegemos de la ingeniería social?
Los ataques de ingeniería social son muy complicados de identificar. Normalmente, los ciberdelincuentes utilizan técnicas psicológicas y sociales muy desarrolladas, así como distintos tipos de dispositivos para engañar a las personas. Desde teléfonos móviles a ordenadores, pasando por otros dispositivos inteligentes como televisores, relojes o videoconsolas.
Lo primero que tenemos que hacer es configurar la privacidad de nuestros datos personales para que no queden expuestos en la Red, de forma directa en las redes, bien sean sociales o de trabajo.
Debemos formar a nuestros empleados sobre los posibles engaños que se producen en la actualidad, como detectarlos y la manera de actuar, en caso de que ya se hayan consumado.
Las contraseñas deben ser seguras y es necesario utilizar un doble factor de autenticación.
Hay que estar siempre alerta ante la solicitud de datos personales, dinero, números de cuenta, de teléfono móvil o cualquier otro que pueda comprometer nuestra seguridad.
¿Qué diferencia hay entre ingeniería social y un ciberataque?
La ingeniería social no es un ciberataque, se trata de utilizar la psicología para persuadir a la víctima. Los objetivos siempre son humanos, no son servidores, ordenadores ni equipos de hardware.
La ingeniería social se ha convertido en una popular táctica entre los ciberdelincuentes, pues es mucho más fácil extorsionar a la gente que encontrar una vulnerabilidad de software en un programa. Los delincuentes informáticos, frecuentemente utilizan tácticas de ingeniería social como un primer paso en una larga campaña de infiltración al sistema de una red para robar datos sensibles.
Esta técnica de manipulación les permite acceder a información muy valiosa. En el mundo del cibercrimen, esos «hackers de humanos» se dedican a atraer a los usuarios más vulnerables hacia infecciones de malware o a abrirles las puertas de sistemas restringidos.
¿Es una amenaza real la ingeniería social?
Obviamente, la respuesta es si. La ingeniería social es una gran amenaza, donde el atacante señala un objetivo y utilizar todo tipo de trucos y estratagemas para obtener información sensible, haciendo pasar por una persona que le resulte familiar o amigable.
El phising es un tipo de ataque que utiliza la ingeniería social. A través del envío de correos electrónicos, los delincuentes tratan de engañar a los usuarios para que estos revelen información confindencial como passwords, números de teléfono o cuentas bancarias.
Los ataques de ingeniería social cada vez son más sofisticados y creíbles, porque los delincuentes hacen uso de Inteligencia Artificial y otros métodos novedosos para engañarnos. Por tanto, hoy más que nunca, hay que que estar muy alerta y tomar las medidas de prevención que las empresas de ciberseguridad recomiendan.
