La ingeniería social es una técnica psicológica empleada por un atacante con el fin de engañarte para que hagas algo que no debes hacer o podría perjudicarte.
El concepto de ingeniería social no es nuevo; ha existido por miles de años, esto lo podemos ver con los estafadores que hacen uso del engaño, ¡es lo mismo!
La tecnología ha sido una herramienta muy útil para llevar a cabo esta técnica, ya que provee a los atacantes una pared que los oculta, y al no poder verlos físicamente, fácilmente pueden hacerse pasar por cualquier persona o institución y dirigirse a millones de personas en todo el mundo.
Además, suele ser muy fácil para ellos pasar por los controles de seguridad sin ser detectados.
Algunos ejemplos podrían ser...
Recibes una llamada de una persona diciendo que se comunican del área de soporte técnico, y que requieren conectarse a tu equipo para revisarlo ya que detectaron una actividad anómala que podría tratarse de virus, todo esto usando términos técnicos que usualmente no conoce un usuario promedio.
Pidiéndote posiblemente que verifiques ciertos archivos en tu equipo, asegurando que si existen es porque tu equipo está infectado, cuando en realidad, se trata archivos del sistema que cualquier computadora tiene.
Una vez que te convencen de que tu equipo esta infectado, te piden el acceso remoto para poder arreglarlo. Si se les proporciona el acceso, has abierto la puerta para que roben tu información o instalen algún otro software malicioso para infectar tu equipo o espiarte.
Otro ejemplo de este tipo, es el ataque por correo electrónico llamado Fraude al CEO, que ocurre con mayor medida en las organizaciones.
Esto sucede cuando un atacante investiga la organización e identifica el nombre del jefe o de algún colaborador.
Luego, envía un correo electrónico fingiendo ser esa persona, pidiendo de forma urgente que realice alguna acción, principalmente, transferencias bancarias o proporcionar información confidencial de sus compañeros.
Los ataques de ingeniería social como estos, no se limitan a llamadas telefónicas o correo electrónico, pueden suceder en cualquier forma, incluidos mensajes de texto SMS, redes sociales o incluso personalmente. La clave es saber identificar cuando te intentan engañar.
El NIST recomienda los siguientes puntos para detectar este ataque y evitar ser víctima:
- Alguien que crea una sensación de extrema urgencia.
- Alguien que solicita información a la que no debería tener acceso o que ya debería conocer.
- Alguien que pide tu contraseña.
- Alguien que pide omitir los procesos o procedimientos de seguridad.
- Algo demasiado bueno para ser verdad.
- Correos de compañeros que contienen palabras que no usan habitualmente.
0 Comentarios
¿Qué te pareció esta lectura?.
EmojiNos interesa saber tu opinión. Deja un comentario.