En un sentido más amplio, la ingeniería social consiste en el uso de técnicas psicológicas y habilidades sociales con el fin de manipular a una persona para que realice acciones específicas y lograr así una meta o beneficio.
En el contexto de la seguridad de la información, la ingeniería social tiene que ver con las técnicas utilizadas por los ciberdelincuentes para engañar a los usuarios y obtener datos privados y confidenciales como fecha de nacimiento, dirección, contraseñas o información financiera, además, es usada para infectar los equipos informáticos con malware y otros virus que ponen en riesgo la información.
Cualquier persona puede ser víctima de un ataque con ingeniería social, este puede materializarse a través de internet o por teléfono, basta con que el cibercriminal logre el engaño para que la víctima le dé datos de mucho valor.
En este artículo te contamos más sobre cómo funciona la ingeniería social, cuáles son los ciberataques más comunes que se concretan con el uso de esta técnica y qué medidas tomar para prevenir ser víctima de los ingenieros sociales.
Generalmente, los ciberdelincuentes aprovechan las vulnerabilidades y sesgos cognitivos de las personas para concretar sus ataques, es decir, es muy común que estos delincuentes se hagan pasar por una persona o entidad de confianza y con autoridad para engañar y manipular a sus víctimas y de esta forma, acceder a información confidencial e infectar sus equipos.
Algunos de los ciberataques más comunes que se materializan con el uso de esta técnica son:
En este ataque, por lo general, la víctima recibe un correo electrónico procedente de una fuente aparentemente confiable, por ejemplo, del jefe o director de la empresa que solicita datos como el nombre de usuario y contraseña para ingresar a un determinado sistema. Como se está en un contexto laboral, es usual que se entregue la información solicitada sin antes verificar la identidad de la persona que envió el correo.
Igualmente, el phishing es usado para suplir la identidad de organizaciones como bancos y transmitir mensajes de urgencia para que la víctima actúe rápido, sin sentarse a analizar la veracidad del mensaje.
Tiene relación con el anterior tipo de ataque, sin embargo, aquí los ciberdelincuentes se dirigen a empresas y personas específicas como gerentes, grandes empresarios o personas públicas y con poder para engañarlas a través del envío de correos electrónicos que incluyen enlaces maliciosos con los que instalan un malware para acceder a información de mucho valor y causar serios daños tanto a la persona como a la organización.
Es de la línea del phishing, pero en este ataque los cibercriminales utilizan llamadas y mensajes de voz para hacer caer a las víctimas: falsifican números de teléfono y se hacen pasar por una persona de confianza o con autoridad, por ejemplo, alguien del banco, un representante de otra empresa con la que se tenga un servicio o incluso, un compañero del área informática o de tecnología.
Durante la llamada el delincuente le solicita a la víctima información o le hace algunas preguntas sobre su identidad con el pretexto de ofrecerle un mejor servicio o ayudarlo a resolver algún inconveniente.
Es un malware con el que los cibercriminales asustan a los usuarios para que visiten un sitio web infectado. El scareware aparece principalmente en ventanas emergentes en las que se comunica cómo se puede eliminar un virus informático que aparentemente existe en el dispositivo. Cuando el usuario da clic en esta ventana, realmente lo dirige a un sitio infectado que propicia la instalación de malware sin notarlo.
Otros ataques conocidos que se basan en las técnicas de la ingeniería social son el hacking de correo electrónico y el envío de mensajes de spam a los contactos, que buscan principalmente instalar software malicioso y enredar a los usuarios para que entreguen información privada.
¿Qué tienen en común estos ataques de ingeniería social? Los ciberdelincuentes llevan a cabo este tipo de ciberataques con el principal objetivo de obtener datos confidenciales y sensibles de las personas para, entre otras cosas, robar su identidad, extorsionarlos, afectar su reputación y buen nombre y afectar la operación y continuidad de los negocios.
Dada la habilidad que tienen los ciberdelincuentes para manipular y engañar a las víctimas, así como para mejorar e innovar en sus técnicas de ataque, hay que ir un paso delante de ellos y para hacerlo, es necesario crear conciencia y educar a todos los empleados, llamados el “eslabón más débil de la cadena”, en temas de seguridad informática para que sean capaces de reconocer un ataque de estos y tomen las medidas adecuadas para protegerse.
Algunas buenas prácticas a implementar son:
Adicional a estas buenas prácticas, vale la pena resaltar la importancia de contar con una herramienta tecnológica como Pirani y su sistema de gestión de seguridad de la información, ISMS, para prevenir y gestionar este tipo de riesgos en tu organización de una manera más simple, evitando así caer en manos de cibercriminales que pueden afectar la operación, la reputación y la continuidad del negocio. Crea tu cuenta ahora y conoce más.
¿Qué otra buena práctica agregarías para evitar ser víctima de los ciberdelincuentes y la ingeniería social? Compártenos tus recomendaciones.