¿Qué es la ingeniería social? Así es como te pueden piratear

La ingeniería social es un término importante en el mundo de la seguridad, pero es posible que no esté familiarizado con lo que significa exactamente. Si bien es un tema amplio, existen tipos específicos de ingeniería social que podemos analizar para obtener más información.


Explicación de la ingeniería social en primer plano

Echemos un vistazo a la ingeniería social como concepto para evitar ser víctimas de ella.

¿Qué es la ingeniería social?

En el ámbito de la seguridad, la ingeniería social es el acto de manipular a las personas para robar su información privada u obligarlas a entregar esos datos confidenciales. La ingeniería social se basa en la explotación de la naturaleza humana, que suele ser el eslabón más débil en un sistema por lo demás fuerte.

La ingeniería social, a diferencia de muchos otros ataques técnicos, no busca penetrar los sistemas informáticos directamente. Mientras que un pirata informático puede escribir un programa que intente descifrar la contraseña de alguien o explotar un error en el software, la ingeniería social se basa solo en engañar o manipular a las víctimas para que hagan algo que el atacante quiere.

Si bien la ingeniería social es anterior a la era de Internet (piense en tácticas de ventas que lo empujan a comprar algo que no desea), la práctica se ha vuelto mucho más frecuente en línea.

Incluso con contraseñas seguras, software de seguridad de primer nivel y máquinas protegidas físicamente, una persona engañada puede ser una vulnerabilidad y aun así provocar una brecha de seguridad en una organización o configuración.

Elementos clave de la ingeniería social

La mayoría de las personas reconocen las estafas flagrantes. Como el conocimiento de estos trucos ha aumentado con el tiempo, los estafadores que los ejecutan tienen que cambiar regularmente sus tácticas para mantenerlos viables.

Como resultado, los esquemas específicos de ingeniería social se adaptan con el tiempo. Sin embargo, muchos de estos trucos utilizan una combinación de los siguientes:

  • Tácticas aterradoras: Si un estafador puede hacerte temer que suceda algo malo, es más probable que lo sigas sin pensar críticamente. Por ejemplo, podrían hacerse pasar por el gobierno y exigir el pago de impuestos con amenaza de arresto.
  • Un sentido de urgencia: Para que actúe antes de pensar, muchas estafas de ingeniería social requieren una acción inmediata para no «perder su cuenta» o cosas por el estilo.
  • Fingir ser una empresa legítima: Para convencerlo de que no son falsos, los atacantes utilizarán elementos de apariencia auténtica en sus correos electrónicos u otras comunicaciones.
  • Redacción vaga: Dado que los ataques de ingeniería social suelen afectar a muchas personas a la vez, la mayoría no son específicos para usted. Las palabras genéricas y la falta de un motivo particular de comunicación indican que se trata de una falsificación.

Tipos comunes de ingeniería social

A continuación, echemos un vistazo a algunas formas comunes de ingeniería social para ver cómo funciona.

Suplantación de identidad

Correo electrónico de phishing de PayPal 2020

Probablemente esté familiarizado con el phishing. Es uno de los tipos más comunes de ingeniería social. Este es un ataque en el que alguien finge ser una entidad legítima, generalmente por correo electrónico, y solicita información confidencial.

A menudo dice ser de PayPal, Apple, su banco u otra empresa de confianza, y le pide que «confirme» sus datos o investigue una transacción sospechosa.

Para protegerse del phishing, debe nunca haga clic en enlaces en correos electrónicosy recuerde que las empresas legítimas no solicitan información sensible de esta manera. Asegúrese de estar familiarizado con las diversas formas de phishing.


Tipos de estafas de phishing

Estafas telefónicas

Las estafas telefónicas son una escuela más antigua que el phishing por correo electrónico, pero siguen siendo populares. En estos esquemas, alguien lo llama alegando, por ejemplo, que es de la compañía de su tarjeta de crédito y le pide que confirme sus datos debido a una actividad sospechosa.

También podrían pretender representar a una empresa de informática que necesita «arreglar infecciones de virus» en su computadora.

Por teléfono, un ladrón puede establecer una conexión más personal que por correo electrónico. Pero si prestas atención, es fácil saber cuándo estás hablando por teléfono con un estafador.

Cebo

Si bien no está tan extendido como las formas anteriores, el cebo es una forma de ingeniería social que se aprovecha de la curiosidad humana. En estos ataques, un estafador deja un CD o una unidad USB infectada en un lugar donde espera que alguien lo recoja. Si luego inserta el medio en su PC, puede terminar recibiendo malware si el contenido de la unidad se ejecuta automáticamente.

Este ataque es más complicado, ya que utiliza medios físicos. Sin embargo, ilustra que nunca debe conectar una unidad flash u otro dispositivo a su computadora si no confía en él.

Chupar rueda

Tarjeta de seguridad para puerta

Este ataque, a diferencia de los demás, se basa en la presencia física del estafador. Tailgating se refiere al acto de acceder a un área protegida llevando a otra persona (legítima) en la espalda.

Un ejemplo común de esto es una puerta en un lugar de trabajo que requiere escanear una tarjeta de acceso para ingresar. Si bien es una cortesía común mantener la puerta abierta para alguien detrás de usted, la mayoría de las empresas no quieren que lo haga. La persona detrás de ti puede estar tratando de colarse en un área en la que no debería estar, aprovechando tu amabilidad.

Esto se aplica principalmente al uso comercial, pero es inteligente recordar que también debe proteger el acceso físico a su computadora. Alguien que sea capaz de colarse en tu coche sin que mires pueda hacer mucho daño.

Espantapájaros

Un virus emergente falso

A veces llamado «scareware», actúa como una mezcla de phishing y malware. En estos ataques, lo amenazan con usar mensajes falsos con la esperanza de que le pague dinero a un estafador o le dé información confidencial.

Una forma común de scareware son las alertas de virus falsas. Estos no son peligrosos en sí mismos, pero le hacen pensar que son signos reales de infección en su dispositivo. Los estafadores esperan que usted se enamore de la falsificación y les envíe dinero para «arreglar» la infección o descargar su software, que en realidad es peligroso.

Otra técnica de miedo común son los correos electrónicos de extorsión. En estos, recibe un correo electrónico de alguien que afirma tener contenido comprometedor sobre usted o similar. Piden un pago para evitar que publiquen el video o la imagen a todos sus amigos. Por supuesto, en realidad no tienen esa información; solo esperan que les crea.

Cómo mantenerse a salvo de la ingeniería social

Como hemos visto, la ingeniería social adopta muchas formas y, a menudo, puede ser difícil de detectar. Para protegerse de estos y otros ataques similares, tenga en cuenta lo siguiente:

  • No confíes en los correos electrónicos. Los correos electrónicos son una de las formas de comunicación más fáciles de forjar. Nunca haga clic en un enlace en un correo electrónico a menos que lo espere específicamente. Siempre es más seguro visitar sitios web directamente.
  • No actúes sin pensar. Si recibe un mensaje que apela a sus emociones, probablemente esté diseñado para engañarlo. Deténgase y piense cuando se sienta particularmente preocupado o curioso, ya que es más probable que tome decisiones apresuradas en estos casos.
  • Confirme siempre la información sospechosa. Si alguien dice ser de una determinada empresa, pídale información que lo demuestre. Si responden con excusas vagas, son mentirosos.

Ingeniería social, expuesta

Incluso si nunca es víctima de un exploit complicado o si su contraseña ha sido descifrada, aún podría ser eliminado por un esquema de ingeniería social. Al reconocer estas estafas comunes y pensar críticamente cuando surgen estas situaciones, puede evitar jugar en las manos de un estafador.

Mientras tanto, la ingeniería social no es la única forma en que se explota la psicología humana en línea.

Haber de imagen: wk1003mike / Shutterstock


modelos oscuros

¿Qué son los patrones oscuros? 6 formas en las que engaña a tu cerebro

¿Alguna vez intentó cancelar una suscripción y se encontró esperando en lugar de charlar con un representante de servicio al cliente? O verifique en un sitio de compras y descubra que hay tres artículos en usted …


Sobre el Autor

.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *