¿Qué es la ingeniería social?
La definición de ingeniería social abarca varios tipos de manipulación psicológica. En ocasiones, la ingeniería social puede tener resultados positivos, como fomentar comportamientos saludables. En términos de seguridad de la información, sin embargo, la ingeniería social a menudo se utiliza únicamente para beneficio del atacante.
la ingeniería social implica manipulación para obtener información confidencial, como datos personales o financieros. Por tanto, la ingeniería social también puede definirse como un tipo de ciberdelito.
¿Cómo funciona la ingeniería social?
La ingeniería social se aprovecha de los sesgos cognitivos de las personas, que son como fallos en el hardware humano. Por desgracia para los seres humanos, hay muchos sesgos cognitivos que las personas malintencionadas pueden aprovechar para obtener datos personales y financieros de las víctimas delante de sus narices. Por ejemplo, la tendencia humana de confiar en personas percibidas como amables, atractivas o con alguna autoridad puede usar se en nuestra contra en ataques de ingeniería social.
¿Por qué es tan peligrosa la ingeniería social?
Hay algo especialmente peligroso sobre las prácticas de manipulación de ingeniería social. A menudo, las víctimas de ingeniería social no se dan cuenta de que están siendo manipuladas hasta que es demasiado tarde, y el delincuente ya ha tenido acceso a los datos confidenciales que buscaban.
¿Qué técnicas de ingeniería social existen?
La ingeniería social se manifiesta de muchas maneras y formas. Algunos ataques pueden llevare a cabo fuera de la red, como por ejemplo, un extraño educado que cuenta con su amabilidad para entrar en su edificio de oficinas y adquirir la información que necesitan en persona.
Cuando se habla de ingeniería social online, los cinco tipos más comunes incluyen los siguientes:
1) Spear Phishing :
Tiene como objetivo específico a grupos o individuos. Los hackers, también conocidos como phishers, utilizarán las redes sociales para compilar información sobre sus objetivos, en ocasiones llamados lanzas, con el fin de ser capaces de personalizar sus emails de phishing, y hacerlos parecer más realistas y más posibles de funcionar. El spear phishing es una estafa de correo electrónico o comunicaciones dirigida a personas, organizaciones o empresas específicas. Aunque su objetivo a menudo es robar datos para fines maliciosos, los cibercriminales también pueden tratar de instalar malware en la computadora de la víctima. Funciona así: llega un correo electrónico, aparentemente de una fuente confiable, que dirige al destinatario incauto a un sitio web falso con gran cantidad de malware. A menudo, estos correos electrónicos utilizan tácticas inteligentes para captar la atención de las víctimas. Por ejemplo, el FBI advirtió de estafas de spear phishing que involucraban correos electrónicos supuestamente procedentes del Centro Nacional para Menores Desaparecidos y Explotados
2) Baiting:
Es diferente a la mayoría de los tipos de ingeniería social online en el sentido de que también implica un componente físico. Tal y como sugiere el nombre, el baiting implica un señuelo físico que la víctima tiene que morder para que el ataque sea exitoso. Por ejemplo, el hacker puede dejar un USB infectado con malware en el escritorio de la víctima, con la esperanza de que muerda el anzuelo y lo conecte a su ordenador. Para aumentar sus posibilidades de éxito, el hacker también puede etiquetar el USB con “importante” o “confidencial” .
3) Pretexting:
Implica el uso de un pretexto cautivador diseñado para atraer la atención del objetivo e involucrarlo para que caiga. Una vez están inmersos en la historia, el hacker que se esconde detrás del ataque intentará embaucar a la potencial víctima para que le entregue información valiosa. Este tipo de ingeniería social se observa a menudo en las llamadas estafas por email nigerianas que le prometen mucho dinero si les entrega los detalles de su cuenta bancaria. Si usted cae víctima del engaño, no solo no verá un centavo, sino que es posible que pierda el dinero de su cuenta.
4) Spamming de Contactos :
es tal vez la forma más extendida de ingeniería social online. Tal y como sugiere su nombre, los hackers usan este método para enviar mensajes de spam a todos los contactos de sus víctimas. Esos emails se enviarán desde la lista de contactos de la víctima, lo que significa que parecerán más realistas a los receptores. Más aún, tienen muchas menos probabilidades de acabar en la carpeta de spam de su correo.
5) Quid Pro Quo:
Del latín “un favor por otro favor” , quid pro quo es un tipo de ingeniería social que implica el intercambio de favores y servicios entre el hacker y su víctima inocente. Frecuentemente, los hackers se presentarán como los técnicos del servicio informático y le pedirán sus datos de registro, para que puedan realizar un supuesto examen de seguridad muy importante. Además, también pueden pedirle que desactive su software antivirus o que instale un programa que le envíen, y por lo tanto permitirles el acceso a su ordenador y darles la oportunidad de instalar malware
Ejemplos de ataques de ingeniería social.
1). En 2017, más de un millón de usuarios de Google Docs recibieron el mismo email de phishing que informaba de que uno de sus contactos estaba intentando compartir un documento con ellos. Hacer click en el enlace les llevaría a una página falsa de registro de Google Docs, donde muchos de los usuarios introdujeron sus datos de registro de Google. Esto, en cambio, dio a los hackers el acceso a más de un millón de cuentas de Google, entre emails, contactos, documentos online y copias de seguridad de smartphones. Ejemplos de ataques de ingeniería social
2). En 2007, el tesorero de Michigan cayó en la trampa de una estafa nigeriana de pretexting que implicaba a un príncipe ficticio que quería escapar de Nigeria, pero necesitaba ayuda para transferir su fortuna fuera del país. En unos meses, el tesorero hizo varios pagos de un total de 185.000 dólares (72.000 dólares de su propio dinero) a los hackers que estaban detrás de esta estafa. Más tarde fue revelado que el resto de los fondos vino de los 1.2 millones de dólares que había desfalcado durante 13 años de servicio público.
