La ingeniería social es una técnica psicológica usada por los ciberdelincuentes para conseguir que las personas hagan algo que podría perjudicarlas.
El concepto de ingeniería social no es nada nuevo, ha existido por miles de años, seguramente tú la has utilizado alguna vez para conseguir un favor o la ayuda de alguien.
Si viste la película basada en la vida real "Atrápame si puedes - (Catch me if you can)", podrás darte una idea de cómo es que la ingeniería social es empleada de forma negativa para manipular a las personas y realizar estafas millonarias.
¿Cómo es usada la ingeniería social cuando hablamos de ciberdelitos?
La tecnología ha sido una herramienta muy útil para llevar a cabo esta técnica, ya que provee a los atacantes una pared detrás de la cual ocultarse, pudiendo hacerse pasar por cualquier persona o institución y dirigirse a millones de personas en todo el mundo.
Además, suele ser muy fácil para ellos pasar por los controles de seguridad de una empresa sin ser detectados.
Algunos ejemplos de ingeniería social son:
Recibes una llamada de una persona diciendo que se comunican del área de soporte técnico, y que requieren conectarse a tu equipo para revisarlo ya que detectaron una actividad extraña que podría tratarse de virus, todo esto usando términos técnicos que usualmente no conoce un usuario promedio.
Pidiéndote posiblemente que busques ciertos archivos en tu equipo, asegurando que si existen es porque tu equipo está infectado, cuando en realidad, se trata archivos del sistema que cualquier computadora tiene.
Una vez que te convencen de que tu equipo esta infectado, te piden el acceso remoto para poder arreglarlo. Si se les proporciona el acceso, has abierto la puerta para que roben tu información o instalen algún otro software malicioso en tu equipo o espiarte.
Otro ejemplo de este tipo, es el ataque por correo electrónico llamado Fraude al CEO, que ocurre con mayor medida en las organizaciones.
Esto sucede cuando un atacante investiga la organización e identifica el nombre del jefe o de algún colaborador.
Luego, envía un correo electrónico fingiendo ser esa persona, pidiendo de forma urgente que realice alguna acción, principalmente, transferencias bancarias o proporcionar información confidencial de la empresa.
Los ataques de ingeniería social como estos, no se limitan a llamadas telefónicas o correo electrónico, pueden suceder en cualquier forma, incluidos mensajes de texto SMS, redes sociales o incluso personalmente. La clave es saber identificar cuando te intentan engañar.
De acuerdo con el NIST, los siguientes puntos podrían ayudarte a detectar un ataque de ingeniería social y evitar ser víctima:
➥Alguien que crea sensación de extrema urgencia.
➥Alguien que solicita información a la que no debería tener acceso o que ya debería conocer.
➥Alguien que pide tus contraseñas.
➥Alguien que pide omitir los procesos o procedimientos de seguridad.
➥Algo demasiado bueno para ser verdad.
➥Correos de compañeros que contienen palabras que no usan habitualmente.
Si detectas alguno de los comportamientos anteriores, posiblemente estarás bajo un intento de engaño por medio de ingeniería social.
La mejor forma de evitar que tú o los colaboradores de tu empresa caigan en este tipo de ataques es fomentando una Cultura en Ciberseguridad e incluso campañas controladas de phishing para detectar qué usuarios requieren de mayor atención y capacitación, y así prevenir que realicen acciones que pongan en riesgo la seguridad del negocio y de los clientes.
La mejor forma de evitar que tú o los colaboradores de tu empresa caigan en este tipo de ataques es fomentando una Cultura en Ciberseguridad e incluso campañas controladas de phishing para detectar qué usuarios requieren de mayor atención y capacitación, y así prevenir que realicen acciones que pongan en riesgo la seguridad del negocio y de los clientes.
0 Comentarios
¿Qué te pareció esta lectura?.
EmojiNos interesa saber tu opinión. Deja un comentario.