UNIR Revista
La ingeniería social consiste en engañar a personas para que compartan información confidencial, por ejemplo, haciéndose pasar por alguien autorizado para acceder a esa información.
Las personas son el eslabón más débil de la cadena de seguridad de las organizaciones. La ingeniería social, en el contexto de la seguridad de la información, es el proceso de manipular a las personas para que realicen acciones que violen los protocolos de seguridad. Ya sea divulgar una contraseña, permitir que alguien acceda a las instalaciones o simplemente hacer clic en un enlace.
Los atacantes diseñaron cuidadosamente la ingeniería social para ayudarlos a explotar nuestros sistemas de información. Los objetivos de la ingeniería social pueden ser desde personas u entidades individuales hasta grandes colectivos, ya sea de forma indiscriminada o a colectivos dirigidos y concretos de una entidad.
Por lo general, en la ingeniería social, el atacante se gana la confianza de alguien dentro de la organización. Estos pueden convencer a los empleados de que están relacionados con la alta dirección, el soporte técnico, etc. Una vez convencida la persona, a menudo se anima a la víctima por ejemplo a restablecer su contraseña, abrir archivos adjuntos de correo electrónico, iniciar una aplicación o conectarse a una URL específica. Cualquiera que sea la actividad real, generalmente está dirigida a abrir una puerta trasera que el atacante puede usar para obtener acceso a la red.
Formas de ingeniería social
Phishing
Quizás la forma más popular de ingeniería social sea el phishing, que es la realizada a través de una comunicación digital. Los ataques de phishing se realizan por correo electrónico o mensajes de texto. Al igual que lanzar un sedal con cebo a un estanque lleno de peces, el phishing se basa en las probabilidades de que si suficientes personas reciben un mensaje atractivo o creíble, alguna de ellas hará clic en un enlace incrustado en él.
Algunos atacantes se dirigen a individuos o grupos específicos, lo que se conoce como spear-phishing. En algunos casos, los objetivos son altos ejecutivos, en cuyo caso se llama whaling (caza de ballenas).
Sea cual sea la variedad, el resultado deseado del phishing es casi siempre que el objetivo haga clic en un enlace que lo llevará a un sitio web bajo el control del atacante. A veces, el sitio web se verá como la página de inicio de sesión legítima de un sitio confiable, como la del banco del usuario. Otras veces, el sitio web es legítimo y ha sido comprometido por el atacante para redirigir a los usuarios a otra parte, como a un servidor de distribución de malware.
Pretexting
El pretexting es una forma de ingeniería social, generalmente practicada en persona o por teléfono, en la que el atacante inventa un escenario creíble con el fin de persuadir a la víctima de que viole una política de seguridad. Un ejemplo común es una llamada del supuesto servicio de atención al cliente o del de prevención del fraude de un banco, en la que el atacante intenta que el objetivo revele números de cuenta, números de identificación personal, contraseñas o información similar.
¿Cómo prevenir los ataques de ingeniería social?
La principal manera de mitigar los ataques de ingeniería social es la formación y concienciación de los usuarios en buenas prácticas de seguridad de la información y en el cumplimiento de las políticas y procedimientos de seguridad de las organizaciones.
Pero ¿cómo se pueden evaluar los programas de sensibilización destinados a contrarrestar la ingeniería social en todas sus formas? Una forma es realizar un seguimiento del número de veces que los usuarios son víctimas de estos ataques antes y después de la formación y concienciación. El reto con este enfoque es que las víctimas pueden no confesar haber caído en estos ataques y nuestros sistemas de seguridad ciertamente no detectarán todos los casos de ataques exitosos.
Otro enfoque es que los auditores (internos o externos) lleven a cabo campañas benignas de ingeniería social contra nuestros usuarios. Cuando el usuario hace clic en un enlace insertado por los auditores en un email o mensaje, se les advierte que hicieron algo mal y se les redirige a una página web o video corto que explica cómo evitar tales errores en el futuro.
Mientras tanto, nuestros sistemas controlarán qué usuarios son más susceptibles y con qué frecuencia estos ataques tienen éxito. La evidencia sugiere que hay un grupo de usuarios que no responderá a la capacitación correctiva, por lo que la dirección debe decidir qué hacer con las personas que repetidamente toman decisiones equivocadas.
Las personas dentro de una organización son vulnerables a los ataques de ingeniería social. Con solo un poco de información o algunos hechos, a menudo es posible lograr que una víctima revele información confidencial o participe en una actividad irresponsable.
Los ataques de ingeniería social explotan características humanas como la confianza básica en los demás, el deseo de brindar asistencia o la propensión a lucirse. Pasar por alto las discrepancias, distraerse, seguir órdenes, asumir que los demás saben más de lo que realmente saben y querer ayudar a los demás también puede conducir a ataques. Los atacantes a menudo pueden eludir extensos controles de seguridad físicos y lógicos porque las víctimas abren una vía de acceso desde el interior a través del perímetro de seguridad.
