¿ Que es la Ingenieria Social ?

¿ Qué es la ingenieria social ?

Todos los humanos cometemos errores. Uno de los hallazgos más interesantes del “Índice de Inteligencia en Cíber Seguridad” de IBM, es que el 95 por ciento de todos los incidentes de seguridad conllevan un error humano. Muchos de estos son ataques de seguridad llevados a cabo con éxito por atacantes externos quienes aprovechan la debilidad humana para atraer tanto a miembros de la organización como a personas externas para que incautamente les suministren acceso a información delicada.

Hoy en día, muchas páginas web legítimas están siendo pirateadas, dado que son justamente el tipo de páginas web en que los usuarios confían rutinariamente. Sin embargo, las páginas web comprometidas también se están usando en ataques orientados a los intereses de grupos o usuarios específicos.

Incluso si usted usa mecanismos de anonimato, canales seguros (cifrados) para comunicarse y una variedad de otras medidas para proteger su privacidad en internet, ¿qué ocurriría si usted cae presa de la ingenieria social y alguien simplemente obtiene sus credenciales y logra evadir todas las barreras de seguridad para acceder a su mundo virtual? Así que, ¿ que es la ingenieria social ?.

Ingenieria Social

Fuentee: https://www.veracode.com/blog/2013/03/hacking-the-mind-how-why-social-engineering-works

¿Recuerda el “regalo” que los antiguos griegos hicieron a la ciudad de Troya? Si bien los ataques de ingenieria social no son nuevos en absoluto, esta herramienta sigue siendo altamente efectiva hoy en día para atraer a sus víctimas mediante el phishing, la provocación y la suplantación de identidad.

image5

Cualquiera ─hasta los profesionales─ pueden resultar víctimas de un ataque de ingenieria social. “Es casi imposible detectar que ha sido víctima de un ataque de ingenieria social”, dice Daniel Cohen, director de suministro de conocimiento y desarrollo de negocios para el grupo FraudAction de RSA, quien además opina que la ingenieria social malintencionada es uno de los mayores problemas que enfrenta la seguridad. “Mientras haya una interfaz consciente entre hombre y máquina, la ingenieria social siempre existirá”

¡Después de usted! – Aprovechando las normas culturales para infiltrarse en instalaciones protegidas
Social engineering PenTest by Jek Hyde (@HydeNS33k)

Es dinero fácil. En el mercado negro, usted puede contratar un servicio de spam que envíe 500.000 correos electrónicos por apenas $75. “De esos 500.000 destinatarios, habrá inevitablemente algunos que enviarán Bitcoins o cualqueir cosa que usted pida”, Dice Cohen. “Por eso es que vemos pérdidas estratosféricas, en el orden de los centenares de millones a nivel mundial, a causa del phishing”.

Ingenieria Social

Si bien el phishing ha sido un problema tradicional en el sector financiero, debido a que las credenciales financieras son fáciles de comercializar y vender, ahora los atacantes están diversificándose para atacar plataformas de juegos y dispositivos móviles, así como programas de viajero frecuente en aerolíneas.  Todas y cada una de las empresas pueden ser, y serán, objetivos.

 

Otro factor detrás de la expansión de ataques de phishing es que, gracias a las páginas “clandestinas” en la web oscura, estafadores del mundo entero han obtenido una forma de conectarse entre sí y colaborar de manera anónima. Es frecuente que busquen socios con competencias en ingenieria social, tal como se muestra en la figura de abajo, para que les ayuden a encontrar las piezas faltantes de las identidades, que ellos pueden entonces completar y usar ellos mismos, o vender al mejor postor.

PHISHING

Las estafas de phishing son uno de los delitos informáticos más comunes hoy en día. La mayoría de las estafas de phishing tienen las siguientes características:

  • Tratan de obtener información personal, como nombres, direcciones y números de seguridad social.
  • Emplean acortadores de enlaces, o integran enlaces que redirigen a los usuarios a páginas web sospechosas con URL que parecen legítimos.
  • Incorporan amenazas, miedo y una sensación de urgencia, todo con la intención de manipular al usuario para que actúe rápidamente.

Algunos correos electrónicos de phishing están peor redactados que otros, al punto de llegar a presentar errores ortográficos, pero estos correos electrónicos igualmente persiguen lograr que las víctimas ingresen a una página web o formulario falsos, desde donde se pueden robar las credenciales de inicio de sesión del usuario, además de otra información personal.

Con frecuencia funcionan en tándem con malwares para crear un paquete perfecto ─donde la máquina del usuario no solamente filtra la información, sino que también resulta comprometida─.

PRETEXTOS

Los pretextos son una forma de ingenieria social en la que los atacantes se enfocan en crear un pretexto, o un escenario forjado por ellos mismos, que puedan usar para intentar robar la información personal de sus víctimas. Este tipo de ataques típicamente se materializan con un estafador que simula necesitar cierta información de sus víctimas para confirmar sus identidades.

Los ataques de pretextos se suelen usar para obtener información tanto delicada como no. De hecho, el pasado mes de octubre, un grupo de estafadores se hicieron pasar por representantes de agencias de modelaje y servicios de acompañantes, inventó antecedentes y preguntas de entrevistas falsas para que las mujeres, incluyendo adolescentes, les enviasen fotos desnudas de ellas mismas ─fotos que después vendieron a negocios de pornografía a cambio de enormes sumas de dinero─.

BAITING

El Baiting (literalmente, “poner carnada” o “cebar”) es similar a los ataques de phishing. Sin embargo, lo que les distingue de otros tipos de ingenieria social es la promesa de un artículo u objeto que los piratas informáticos usan para atraer a sus víctimas. Los “baiters” (como se les llama a estos atacantes) pueden usar música o descargas gratis de películas, si ofrecen sus credenciales a una determinada página.

Los ataques de baiting no están restringidos solamente a esquemas a través de internet. Los atacantes también pueden enfocarse en explotar la curiosidad humana mediante medios físicos.

QUID PRO QUO

Los ataques de Quid Pro Quo prometen la obtención de un beneficio a cambio de información. Este beneficio suele ser un servicio (mientras que el baiting suele ofrecer un artículo físico a cambio).

Uno de los tipos más comunes de ataques de quid pro quo consiste en estafadores que se hacen pasar por personal de TI, y quienes llaman a todos los números telefónicos directos pertenecientes a la empresa que encuentren. Estos atacantes ofrecen ayuda de TI a todas sus víctimas, que realmente tiene la intención de abrirles la puerta a sus deseos malintencionados.

Sin embargo, es importante tener en cuenta que los atacantes pueden también hacer ofrecimientos de quid pro quo mucho menos sofisticadas que asistencia de TI.

TAILGATING

Otro tipo de ataque de ingeniería social es el conocido como tailgating (literalmente, “ir a rebufo”). Este tipo de ataque suele implicar a alguien sin la autenticación adecuada, que se dedica a seguir a un empleado hasta un área restringida.

De hecho, Colin Greenless, consultor de seguridad en Siemens Enterprise Communications, empleó estas mismas tácticas para obtener acceso a diferentes pisos, así como a l sala de datos de una empresa financiera listada en el FTSE. Incluso logró establecerse en una sala de reuniones en el tercer piso, desde la cual trabajó durante varios días.

 

En última instancia, es posible luchar contra los ataques de ingenieria social, pero la ingenieria social no desaparecerá. Michele Fincher, agente jefe de influencia en Social-Engineer, lo resume así:

“Muchas de las decisiones que tomamos provienen de la naturaleza y comportamiento básicos del ser humano, y estamos reaccionando como humanos. Los buenos ingenieros sociales verdaderamente comprenden cómo funciona esto, y es algo de lo que la tecnología no puede protegerle”.

Los hackers que se dedican a la ingenieria social atacan a sus víctimas sirviéndose de la psicología y la curiosidad para comprometer la información de sus víctimas. Con este enfoque humano en mente, depende completamente de los usuarios el defenderse de estas acciones maliciosas.

En el siguiente artículo le presentamos algunos consejos acerca de cómo evitar los mecanismos de ingenieria social.

Ingeniería Social

¡Obtenga su email seguro!

Mailfence es un paquete de webmail seguro y privado

Síganos en twitter/reddit y manténgase informado en todo momento.

– El Equipo Mailfence

 


¡Corra la voz!

 

También te podría gustar...

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

code

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.