En Ciberseguridad

El desconocimiento o falta de control del usuario de Internet, convierte a la Ingeniería Social en uno de los tipos de ataque informático más comunes.

También en una de las modalidades que más peligros entrañan, tanto a usuarios particulares como a empresas que almacenan datos privados propios, de sus empleados, clientes y proveedores.

Esta modalidad de ataque trata de aprovecharse de las debilidades de la víctima para obtener uno de los mayores tesoros que cualquiera de nosotros poseemos: información y datos.

Por eso, cualquier ataque basado en Ingeniería Social irá dirigido a engañar a la víctima con el propósito de que esta responda cediendo acceso a su información confidencial.

¿Tienes claro qué es la Ingeniería Social? Te lo explicamos:

Qué es Ingeniería Social

En el ámbito informático, la Ingeniería Social se define como la técnica de manipulación dirigida a hacer uso del error humano con la intención de obtener acceso a información o cuentas privadas.

Se trata de un tipo de estafa que se apoya en la impersonalidad y falta de contacto del medio digital, tratando de ganarse la confianza de la víctima para que esta facilite el control a determinados datos o archivos confidenciales que serán utilizados a conveniencia del ladrón.

Riesgos de la Ingeniería Social

Los riesgos de la Ingeniería Social en Informática son múltiples, pero muy en resumen estarían relacionados con la obtención de credenciales y claves de acceso a las cuentas de la víctima o de sus contactos.

En lo particular, supondría el robo de acceso a cuentas como redes sociales, herramientas y plataformas de compra, aunque en el peor de los casos, irán dirigidas a lograr el robo de nuestro correo electrónico y cuentas del banco.

Aún es más peligroso cuando la amenaza va dirigida al contexto empresarial.

En este caso, la información en riesgo será la del propio empleado, pero también la del resto de la empresa.

Esto incluye datos y control en el desarrollo de proyectos no publicados, información y claves de los clientes, proveedores, equipos…

Obtención de información y manipulación que podría poner en riesgo la integridad de la propia compañía.

Cómo funciona la Ingeniería Social

En el mundo de la ciberseguridad existen diferentes métodos de Ingeniería Social, el modus operandi suele ser siempre similar, respondiendo a la siguiente estructura:

Obtención del contacto de la víctima

Que a veces se puede acompañar de información personal adjunta como su ubicación, nombre completo e incluso aspectos más específicos como número de hijos o banco del que es cliente.

La Ingeniería Social necesita un modo con el que contactar directamente con su objetivo.

El tipo de contacto que este obtendrá suele ser su correo electrónico o un número de teléfono, aunque como veremos más adelante, fácilmente podrían escribirnos desde cualquier lugar en Internet mediante un mensaje privado.

email ingenieria social

Comunicación mediante una identidad falsa

En Ingeniería Social, el estafador no suele darse a conocer por su identidad real.

Al contrario. Lo normal será que nos contacten haciéndonos creer que se trata de una persona que responde a uno de los propósitos lógicos del medio y de quien supuestamente nos habla.

Los tipos de identidades que se pueden suplantar en ingeniería social proceden de:

  • Un completo desconocido. Nos ha contactado él y nos ofrece algún tipo de solución para un problema ante el que hasta ahora no habíamos considerado a esta persona. Aunque la desconfianza en alguien no conocido es lo más común en Internet, el estafador se situará en un contexto cuyo argumento nos podría sonar razonable.
  • Alguien conocido ante el que nuestra confianza será mayor. Puede tratarse de alguien que suplanta la identidad de un contacto, incluidos allegados como familiares o amigos. En este caso, el Ingeniero Social habrá analizado nuestras redes para crearse una cuenta falsa con la que hacernos creer que es quien dice ser.
  • Una empresa o una marca. Aunque se traten de interlocutores menos humanizados, confiamos en ellos porque observamos símbolos o señales que nos llevan a pensar que realmente estamos hablando con una compañía. El uso de su imagen corporativa y mensajes persuasivos, nos llevan a creer que realmente estamos hablando con una empresa que tiene algo que pedirnos u ofrecernos.

Según la personalidad suplantada, el estafador utilizará diferentes argumentos apelando a su falsa identidad como argumento para convencernos.

Precisamente el propósito de la ingeniería social es hacernos creer que se trata de una persona concreta, con capacidades, problemas o necesidades lo suficientemente factibles como para hacernos pensar que nos dice la verdad sin generar algún tipo de sospecha.

Ganarse la confianza de la víctima

Según el entorno en el que se produzca el contacto, la identidad del ingeniero social será distinta.

Del mismo modo, el mensaje también se adaptará a la lógica del lugar donde se produzca la conversación.

En cualquier caso, el propósito será siempre el mismo: ganarse nuestra confianza para hacernos creer que hablamos con una persona real que tiene una solución o una oportunidad gracias a su contacto.

robo de claves

Colaboración a cambio de información o interacción

Una vez se ha ganado nuestra confianza, el ingeniero social tratará de ofrecernos ayuda, soporte o algún tipo de oferta.

Para ello, “simplemente” nos pedirá algo de información o una acción por nuestra parte.

Su propósito en este punto será tratar de convencernos de que su petición es el modo natural de hacer las cosas. La forma razonable de colaborar con nosotros.

A veces la información que nos pedirán será directamente nuestro correo, contraseña o nombre de usuario.

Otras, argumentará la necesidad de realizar un pago o un envío (físico o digital), en cuyo caso la información que le remitiremos será algún tipo de comprobante.

Aunque esto suene a estafa evidente, realmente no suele resultar tan obvio. El tipo de peticiones utilizados en ingeniería social serán aparentemente lógicos y equivalentes a la solución que supuestamente nos ofrecen a cambio.

Tanto es así, que la ingeniería social utiliza procedimientos de petición de información cada vez más naturales.

Cierre del engaño

Si consiguen la información que estaban buscando, prácticamente habrán cumplido con su propósito.

Si atendemos a qué es Ingeniería Social, esta va dirigida a obtener una información concreta, la que permitirá saber al atacante que ya ha tomado el control con el que cerrar el golpe por su propia cuenta.

Una vez proporciones tus datos de acceso o un justificante de pago, habrás perdido y difícilmente lograrás revertirlo.

Cómo evitar caer en la trampa

Las tácticas de ataque relacionadas con qué es Ingeniería Social, ya representan más del 93% de intentos de ataque según la Oficina de Seguridad del Internauta.

El motivo es que, frente a otros métodos ante los que el software es capaz de hacer frente, en este caso el atacante se basa en la debilidad de la mente humana para lograr acceder a su información confidencial.

Para ayudarte a estar prevenido ante ataques de Ingeniería Social, te invitamos a leer este completo artículo que te permitirá aplicar técnicas para detectar y evitar ataques de Ingeniería Social.

Entre estas técnicas, necesitarás disponer de la formación digital suficiente como para ser consciente de en qué situaciones nos encontramos ante este tipo de ataques.

Conocimiento suficiente para aplicar técnicas de detección de uso de identidades falsas.

Y el más importante, el uso necesario de la lógica, siendo consciente de que el mundo digital no es tan diferente al mundo físico en cuanto a la presencia de individuos que podrían estar utilizando artimañas para atentar contra nosotros.

Si lo que buscas es aplicar la potencia de la tecnología para evitar que los empleados se vean engañados por este tipo de amenazas, te proponemos contactar con nosotros para saber qué herramientas puedes integrar en tu sistema.

Uno de nuestros especialistas estará encantado de ofrecerte más información sobre qué es la Ingenería Social y cómo estar prevenido ante la amenaza.

Contacto

Recent Posts

Presiona ENTER para comenzar la búsqueda en Avansis

que es ciberseguridadvictima ingenieria social