Hacker con máscara

Ingeniería Social: ¿Qué es y cómo evitarla?

La ingeniería social es el acto de manipular a las personas para que realicen una acción específica en beneficio de un atacante, por ejemplo el otorgarle al atacante información confidencial. Podrías pensar que suena como el trabajo de un estafador, y estarías en lo cierto.

Este tipo de delincuentes utilizan tácticas de ingeniería social porque suele ser más fácil aprovecharse de las vulnerabilidades de las personas como tal a que por el otro lado descubran formas de piratear su software. Por ejemplo: es mucho más sencillo para ellos engañar a una persona para que les comparta su contraseña de correo que hackear su computadora personal para obtenerla.

Los tipos de información que buscan estos delincuentes pueden variar, pero cuando las personas son atacadas, los delincuentes suelen intentar engañarte para que les des tus contraseñas o información bancaria, o en su caso accedan a tu computadora para instalar sin que tu te des cuenta software malintencionado, lo que les dará acceso a tu contraseñas e información bancaria, además de darles control sobre tu computadora.

Si alguna vez ha recibido un correo electrónico fraudulento (Phishing), has visto cómo funciona la ingeniería social. El aspecto de ingeniería social de un ataque de phishing es el primer paso crucial: lograr que la víctima abra un archivo adjunto poco fiable o que visite un sitio web malicioso. Los ataques de Phishing son un subconjunto de la estrategia de ingeniería social que imitan una fuente confiable y elaboran un escenario aparentemente lógico para entregar credenciales de inicio de sesión u otros datos personales confidenciales.

Características que los delincuentes usan con la ingeniería social:

Los ciber-atacantes utilizan ciertas características de ingeniería social para lograr su cometido con las personas que son atacadas, que incluyen:

  • Crear un sentido de urgencia, quizás estableciendo una fecha límite para la acción.
  • Hacerse pasar por alguien importante, como el director ejecutivo de su empresa.
  • Mencionar eventos actuales para hacer que los mensajes sean más auténticos.
  • Ocultar URL maliciosas para que parezcan legítimas.
  • Ofrecer un incentivo como un pago o una promoción.

El phishing no puede funcionar a menos que el primer paso, convenza a la persona de realizar una acción. Pero la ingeniería social utilizada en los ataques de phishing se está volviendo cada día mas sofisticada a medida que los atacantes intentan adelantarse a los usuarios o intentar perseguir objetivos más grandes y estratégicos.

Por supuesto que la ingeniería social no se limita exclusivamente a las campañas de phishing por correo electrónico.

La ingeniería social puede ocurrir a través de las redes sociales, en persona y también por teléfono: una llamada supuestamente inocente a su escritorio desde el “soporte técnico” para recopilar algunos detalles aparentemente menores sobre qué tipo de sistema operativo usa su empresa en realidad puede resultar en un tesoro de información para un atacante.

¿Cómo evitar ser víctima de un ataque de Ingeniería Social?

Definitivamente cada vez es más difícil evitar por completo ser víctima de la ingeniería social, pero ciertamente hay algunas cosas que siempre puede tener en cuenta, te compartimos los siguientes puntos importantes:

  • Confía en tu instinto. Si algo parece sospechoso, disminuya la velocidad, no tomes ninguna acción precipitada y verifica la situación. Por ejemplo, habla con tu jefe en persona si no estás seguro de si un correo electrónico es realmente de él.
  • Si alguien solicita información confidencial como un nombre de usuario y una contraseña por teléfono, cuelgue inmediatamente. El personal legítimo de servicio al cliente o soporte técnico nunca llegaría a pedir esta información.
  • Evita hacer clic en enlaces en correos electrónicos o abrir archivos adjuntos de correo electrónico de remitentes que no sean de confianza o conocidos, especialmente cuando son inesperados. Recuerda que los atacantes pueden hacerse pasar fácilmente por alguien que conoce o con quien trabaja.
  • Recuerda que tú tienes el control. No dejes que nadie te convenza para que hagas algo de lo que no estás seguro; ignora las tácticas de presión para que actúes y da un paso atrás para reflexionar antes de hacer alguna acción precipitada.

3 Formas en las que te puedes proteger a ti y a tu organización de los ataques de Ingeniería Social:

  1. Asegura tus dispositivos electrónicos. Ten instalado software antivirus de última generación, firewalls, filtros de correo electrónico y manténgalos actualizados. Configura tu sistema operativo para que se actualice automáticamente y, si su teléfono inteligente no se actualiza automáticamente, actualízalo manualmente cada vez que recibas un aviso para hacerlo. Utiliza una herramienta anti-phishing ofrecida por tu navegador web o un tercero para alertarlo sobre los riesgos.
  2. Establece filtros de spam en alto. Todos los programas de correo electrónico tienen filtros de spam. Para encontrar el tuyo, mira tus opciones de configuración y configúralas en alto; solo recuerda revisar tu carpeta de correo no deseado periódicamente para ver si el correo electrónico legítimo ha quedado atrapado allí accidentalmente.
  3. Elimine cualquier solicitud de información financiera o contraseñas. Si te piden que respondas a un mensaje con información personal, es una estafa.

Cuéntanos, ¿Qué medidas para hacer conciencia sobre la Ingeniería Social están tomando en tu empresa? ¿Qué retos relacionados te has enfrentado en cuanto a este tema?