¿Qué es la ingeniería social? Comprender los últimos tipos y amenazas

¿Qué es la ingeniería social? Comprender los últimos tipos y amenazas. La ingeniería social se ha convertido en una herramienta maliciosa para que los hackers realicen ciberataques .

La protección antivirus o su firewall no ayudarán si es engañado para hacer clic en un enlace malicioso pensando que proviene de un colega o conocido de las redes sociales.

Esto es lo que necesita comprender para mantenerse seguro y proteger sus datos.

Tabla de contenidos

¿Qué es la ingeniería social?

Por definición, la ingeniería social es un vector de ataque utilizado para obtener acceso para obtener acceso a redes, sistemas o ubicaciones físicas, o para obtener ganancias financieras mediante el uso de la psicología humana, en lugar de utilizar métodos de piratería técnica. Se basa en la interacción social para manipular a las personas a eludir las mejores prácticas y protocolos de seguridad.

La ingeniería social es la nueva táctica preferida entre la comunidad de hackers. Es más fácil explotar las fallas de los usuarios que descubrir una vulnerabilidad en redes o sistemas.

Comprender los diferentes tipos de ataques de ingeniería social es un aspecto esencial de la protección.

Tipos de amenaza de ingeniería social

Suplantación de identidad

El phishing es uno de los tipos más comunes de ingeniería social.

Cuando un sitio web, un artículo o una comunidad en línea se presenta a un individuo objetivo como auténtico y seguro, pero en su lugar utiliza una URL que no es oficial, se llama phishing. Los piratas informáticos y los ladrones utilizan ataques de phishing para obtener falsas esperanzas y confianza de las víctimas potenciales para recibir información confidencial, como nombres de usuario, direcciones de correo electrónico y contraseñas vinculadas a cuentas de redes sociales y sitios web de inicio de sesión bancario. El phishing implica la participación de los usuarios para el robo de información y datos que se completarán.

El phishing es más común entre los usuarios que no están bien versados en la navegación por Internet o aquellos que son nuevos en el uso de las redes sociales y los recursos en línea para buscar información, contenido y medios. Muchos ataques de phishing se dirigen a personas mayores o que no trabajan en la industria tecnológica para obtener información confidencial sin el riesgo de ser atrapados.

La prevención del phishing comienza asegurando que cada URL que visite sea oficial y auténtica. Los ataques de phishing a menudo se dirigen a plataformas de redes sociales, sitios web bancarios y sitios de servicios en línea para recopilar información crucial de los usuarios que caen en la URL falsa.

Los intentos de phishing aumentaron en 30 millones de 2017 a 2018, según Kaspersky Lab .

Cebo

El cebo se usa tanto en el mundo digital como en el físico.

El cebo consiste en dejar dispositivos en áreas públicas llenas de malware, spyware u otro software dañino que luego se utiliza para robar y recopilar la información de los usuarios que están tentados a ver el contenido del dispositivo.

Con mayor frecuencia, las unidades flash USB se dejan en áreas como baños, bibliotecas, estaciones de metro o incluso en aviones con la esperanza de atraer la curiosidad de las personas.

Una vez que el usuario conecta el dispositivo a su computadora, el malware se descarga en el disco duro.

Los keyloggers y el software malicioso envían datos directamente al pirata informático, lo que les permite acceder a sitios web y cuentas.

El cebo digital también se encuentra en anuncios que muestran ofertas atractivas o artículos gratuitos, solo para llevar a los usuarios a sitios web que desencadenan de inmediato una descarga de software malicioso y spyware.

En algunos casos, los programas de malware y spyware se disfrazan de software tradicional o actualizaciones de software.

Al buscar software, es imprescindible verificar la autenticidad de la URL y el proveedor.

Phishing

Spear Phishing está diseñado para atacar personalmente a un individuo u organización para que parezca más auténtico y legítimo.

Los ataques de spear phishing a menudo utilizan la información personal del usuario o detalles sobre un individuo para ganar la confianza y la curiosidad del usuario antes de robar información, instalar malware o entregar un keylogger en el disco duro del individuo. Los piratas informáticos que usan tácticas de phishing son expertos en extraer datos de usuarios de sitios de redes sociales, blogs oficiales e incluso boletines por correo electrónico o filtraciones en línea anteriores y violaciones de seguridad.

Cuando un usuario se presenta con un ataque de phishing de lanza , son propensos a sentir que el ataque es un intento genuino de compartir información, contenidos, productos o libres debido a los datos personales proporcionados abrumadoras.

La suplantación de identidad se está volviendo más popular que los ataques tradicionales de suplantación de identidad a medida que los usuarios se dan cuenta de verificar las URL y verificar los sitios web que compran y navegan cuando están en línea. Con un ataque de phishing, se hace cada vez más difícil determinar si la URL o la información es maliciosa, incluso para aquellos que son usuarios experimentados de Internet.

Chupar rueda

Chupar rueda es una amenaza de ingeniería social que es puramente física e implica interacción en el mundo real para trabajar. Cuando un pirata informático está interesado en obtener la información de una persona u organización específica, puede seguirlo a cafeterías locales o lugares donde hay conexión Wi-Fi gratuita. La piratería en un punto de acceso público de Wi-Fi brinda a los ladrones la capacidad de aprender más sobre las personas que usan la conexión mientras obtienen datos personales y confidenciales.

Otras formas de chupar rueda pueden incluir pedirle a una persona que utilice su pase de acceso al ingresar a un edificio o ir a trabajar a su oficina mintiendo acerca de olvidar su pase para robar información rápidamente. A menudo, los piratas informáticos utilizan el seguimiento de activos que tienen un interés personal en una persona u organización que se cree que tiene riqueza o cuentas bancarias sin garantía que son fáciles de piratear y robar una vez que se proporciona el acceso.

Chupar rueda es una de las formas más personales de ingeniería social y también una de las más amenazantes en el mundo real.

Mantenerse vigilante y seguro al acceder a puntos de acceso Wi-Fi o Internet en cualquier lugar fuera del hogar es esencial para evitar el riesgo de exponer información personal y datos que le pertenecen. También es necesario mantener una conexión a Internet encriptada y protegida para evitar que los posibles piratas informáticos obtengan acceso a sus datos.

Scareware

Scareware es extremadamente exitoso en la obtención de información del usuario y detalles financieros.

A menudo se presentan como ventanas emergentes o programas, al tiempo que incitan a los usuarios advertencias o amenazas a recibir información como nombres, detalles de tarjetas de crédito e incluso números de seguridad social.

Es probable que un individuo se vea amenazado con el contacto del FBI u otras áreas del gobierno, lo que provocará respuestas rápidas para evitar nuevas medidas. Cuando los usuarios no están familiarizados con esta táctica, es mucho más probable que caigan en un ataque de scareware.

Scareware no siempre incluye amenazas personales o directas. Scareware también es común cuando se navega en sitios web no oficiales o sitios que proporcionan contenido o programas gratuitos que de otro modo no serían gratuitos.

En muchos casos, el scareware se usa para solicitar a las personas que descarguen software malicioso debido a una amenaza de spyware o malware que ya está infectando el disco duro del usuario.

Una vez que el individuo descarga la solución presentada por la campaña de scareware, su computadora se ve comprometida y los piratas informáticos obtienen acceso directo a la información personal o al disco duro completo.

Pretexting

Las estafas de texto previo se utilizan para recopilar información personal de personas al hacerse pasar por policías, funcionarios gubernamentales, gerentes de cuentas bancarias o incluso compañeros de trabajo.

Los hackers usan el pretexto para apuntar a personas desprevenidas que probablemente se sientan amenazadas o temerosas de represalias si no comparten la información solicitada. El pretexteo se realiza por teléfono, por correo electrónico o, en algunos casos, incluso con el uso de aplicaciones de mensajería de redes sociales.

Los perpetradores que utilizan el pretexto a menudo informan a las personas que necesitan información altamente confidencial para completar una tarea o para evitar que la persona tenga problemas legales.

Cuando un individuo se siente amenazado, vulnerable o asustado, es mucho más probable que revele números de cuentas bancarias, números de ruta, números de seguridad social y otros datos confidenciales.

Quid pro quo

Quid pro quo involucra a piratas informáticos que solicitan información a personas desprevenidas con la promesa de ofrecer algo a cambio.

Es probable que las personas que reciben un ataque quid pro quo reciban ofertas de compensación, vacaciones gratis o obsequios, como nuevos productos que son más relevantes para el estilo de vida de la persona.

Los ataques quid pro quo ocurren por teléfono, mientras se usan las redes sociales, o incluso a través de boletines de correo electrónico tradicionales que han sido pirateados, comprometidos o suplantados. Los usuarios reciben la promesa de dinero, viajes gratis u obsequios a cambio de información de inicio de sesión, verificación de credenciales u otros detalles confidenciales, como los números de seguridad social y los números de cuenta bancaria y de ruta.

3 fases de la ingeniería social

Fase de investigación

La primera fase de cualquier ataque de ingeniería social es la investigación. Durante esta fase, los atacantes buscan información sobre usted. La ruta más fácil para encontrar información potencial es a través de una búsqueda en la web o en las redes sociales. Las mejores prácticas de seguridad de las redes sociales son clave, ya que las personas a menudo publican información personal que los atacantes pueden usar contra ellos.

Si el objetivo es un negocio, los atacantes pueden recopilar información sobre los empleados o las reglas de seguridad que pueden ayudar a futuros ataques. Los gerentes y otros objetivos de alto valor tienen un mayor riesgo porque los atacantes tienen más probabilidades de investigar más sobre estos objetivos.

Los ingenieros sociales expertos a menudo investigan con qué compañías pueden trabajar. Luego pueden usar esta información para pretender ser un técnico o consultor de la compañía para obtener acceso a áreas sensibles. A través de este pretexto, pueden engañar a los objetivos para que revelen datos confidenciales o seguros.

Fase de contacto

Una vez finalizada la fase de investigación, los atacantes pasarán a la fase de contacto. Durante esta fase, los atacantes utilizarán la información investigada para buscar otras debilidades y ganar la confianza del objetivo. Esto a menudo incluye fingir ser alguien en quien el objetivo confía. Una vez que la víctima confía en los atacantes, los atacantes pueden aprovechar esto para obtener más información o acceso.

Por ejemplo, los atacantes pueden usar las redes sociales para averiguar qué empleados de una empresa se han ido de vacaciones. Luego, pueden contactar a la compañía fingiendo ser un empleado de vacaciones que olvidó darles información importante antes de irse. Sabiendo que un empleado estaba fuera de la oficina, otra persona de la compañía podría intentar ayudarlos enviando a los atacantes la información deseada.

Fase de ataque

La fase de ataque se basa en las dos fases anteriores. En la mayoría de los casos, esto significa que los atacantes tienen la información y el acceso necesarios para usted o los sistemas de su empresa.

Los ataques básicos utilizarán este acceso para robar información de un sistema, pero algunos piratas informáticos van más allá. Los ataques avanzados utilizarán este acceso para ayudarlos en futuros ataques. Luego pueden dejar una puerta trasera en el sistema o copiar sus credenciales.