Ingenieria Social

Ingeniería social

El término "ingeniería social" hace referencia al arte de manipular personas para eludir los sistemas de seguridad. Esta técnica consiste en obtener información de los usuarios por teléfono, correo electrónico, correo tradicional o contacto directo.

Los atacantes de la ingeniería social usan la fuerza persuasiva y se aprovechan de la inocencia del usuario haciéndose pasar por un compañero de trabajo, un técnico o un administrador, etc.

En general, los métodos de la ingeniería social están organizados de la siguiente manera:

• Una fase de acercamiento para ganarse la confianza del usuario, haciéndose pasar por un integrante de la administración, de la compañía o del círculo o un cliente, proveedor, etc.
• Una fase de alerta, para desestabilizar al usuario y observar la velocidad de su respuesta. Por ejemplo, éste podría ser un pretexto de seguridad o una situación de emergencia;
• Una distracción, es decir, una frase o una situación que tranquiliza al usuario y evita que se concentre en el alerta. Ésta podría ser un agradecimiento que indique que todo ha vuelto a la normalidad, una frase hecha o, en caso de que sea mediante correo electrónico o de una página Web, la redirección a la página Web de la compañía.

La ingeniería social puede llevarse a cabo a través de una serie de medios:

• Por teléfono,
• Por correo electrónico,
• Por correo tradicional,
• Por mensajería instantánea,
• etc.

¿Cómo puede protegerse?

La mejor manera de protegerse contra las técnicas de ingeniería social es utilizando el sentido común y no divulgando información que podría poner en peligro la seguridad de la compañía. Sin importar el tipo de información solicitada, se aconseja que:

• averigüe la identidad de la otra persona al solicitar información precisa (apellido, nombre, compañía, número telefónico);
• si es posible, verifique la información proporcionada;
• pregúntese qué importancia tiene la información requerida.

En este contexto, puede ser necesario capacitar a los usuarios para que tomen conciencia acerca de los problemas de seguridad.

Phishing

El Phishing es uno de los métodos de ataque de Ingeniería social más utilizados. La forma más común de Phishing es la que emplea el correo electrónico para cometer fraude.

Un atacante que utiliza este método por lo general tiene en su poder un dominio de Internet que puede ser fácilmente confundido con la URL de un servicio legítimo y lo utiliza para tratar de convencer al usuario de ingresar sus datos con el fin de verificar su cuenta bancaria, Paypal e incluso una red social o servicio de mensajería instantánea, bajo la amenaza de suspenderla en caso de no suministrar los datos requeridos. Si un usuario ingresa sus credenciales, obviamente le está entregando su información al atacante, quién la utilizará para robar información e incluso dinero.

Por fortuna, el Phishing también es uno de los métodos más fáciles de detectar, en gran parte, gracias a los servicios de correo electrónico que filtran de forma rigurosa todos los mensajes que atraviesan sus servidores e identifican y marcan como sospechosos aquellos que provengan de fuentes no confiables.

Debemos tener presente que ningún servicio de Internet, incluyendo a los propios bancos, nos solicitará información financiera, contraseñas o números de tarjeta de crédito para verificar nuestra identidad o validar nuestra cuenta a través de correo electrónico.

Cada vez que necesites ingresar a los servicios de banca en línea, asegúrate de introducir manualmente la dirección en el navegador, es decir, evita utilizar enlaces que encuentres en otros sitios, incluso si se trata de un buscador. La mayoría de los bancos tienen servicios de atención telefónica para reportar el fraude, por lo que si sospechas que estás siendo víctima de uno de estos ataques, no dudes en llamar de forma inmediata para solicitar asistencia.

Vishing

En el Vishing, los métodos son similares a los descritos en el Phishing, de hecho su finalidad es exactamente la misma. La diferencia es que este utilizauna llamada telefónica en lugar de un correo electrónico o un sitio web falso.

Existen varias formas ataque bajo este método, las más comunes son:

• Una llamada a la victima utilizando un sistema automatizado, en la cual se solicita al usuario que siga una serie de pasos para reactivar su cuenta ya que “su tarjeta de crédito ha sido robada” y “se requiere de una acción inmediata”.
• Un correo electrónico con instrucciones para “activar su cuenta” donde se incluye un número de teléfono al que se debe llamar para completar el falso proceso de activación.
• Empleando la imitación de llamadas telefónicas interactivas del tipo “marque 1 para…” o “introduzca su número de tarjeta de crédito después de la señal…”.

Además de éstas, he conocido casos a través de familiares y amigos, en los cuales, mediante una llamada telefónica se realiza una encuesta o se ofrece algún paquete turístico. A lo largo de la conversación, el atacante va realizando una serie de preguntas cuyas respuestas implican datos privados.

Los atacantes que emplean este método suelen tener un gran poder de convencimiento y ser buenos conversadores, de esta manera logran mantener por el mayor tiempo posible a la víctima pegada al teléfono.

Ahora que conoces como funcionan, puedes sospechar de todas las llamadas de este tipo. En el caso de los bancos, estos nunca te pedirán datos vía telefónica (en todo caso te pedirán que te acerques hasta una de sus agencias). Tampoco Facebook, Google, Microsoft o cualquier compañía/servicio te llamará para pedirte información sobre tus contraseñas o tarjetas de crédito.

Baiting

Este método aprovecha una de las mayores debilidades -o virtudes- de los seres humanos: la curiosidad.

En el Baiting, un atacante abandona de forma intencional un dispositivo o medio de almacenamiento extraíble, como por ejemplo, una memoria USB o un CD/DVD. Dicho dispositivo estará infectado con software malicioso, que podría ser instalado en el ordenador, incluso sin que nos demos cuenta.

Contra este método, tener un antivirus actualizado podría ser efectivo, sin embargo, es necesario tener precaución a la hora de insertar dispositivos de dudosa procedencia en nuestros ordenadores. También es recomendabledesactivar la función Autorun y no abrir archivos si no estamos seguros de su contenido.

Otros métodos

Además de los 3 que he mencionado, existen muchos otro métodos utilizados dentro de la Ingeniería social, todos ellos, como lo dije al principio, hacen uso del engaño y la confusión para llevarnos a la trampa, por lo que debemos estar alerta en todo momento, y sobre todo, hacer uso del sentido común.

Finalmente, y aunque parezca una recomendación obvia, procura no anotar tus contraseñas en lugares donde puedan ser fácilmente visibles o encontradas por otros, sobre todo si trabajas en un lugar donde entra y sale gente de manera constante. Dejar las tarjetas de crédito, estados de cuenta, u otro tipo de información financiera a la mano de cualquiera, tampoco es una buena idea.

Ahora que conoces como funciona la técnica y sabes como prevenir un fraude, es momento de compartir la información con tus familiares y amigos, de esta manera, ellos también podrán evitar caer en la trampa.