¿Qué es?

La ingeniería social es esencialmente el arte de obtener acceso a edificios, a sistemas o a datos (archivos, programas y fotografías) mediante la explotación de la psicología humana, en lugar de romper o quebrar su tecnología. Por ejemplo, en lugar de encontrar una vulnerabilidad de software, un ingeniero social puede llamar a un empleado y hacerse pasar por una persona de soporte de Tecnología de Información o un amigo o un cliente, tratando de engañar al empleado para que divulgue su contraseña.

En los años 90, Kevin Mitnick popularizó el término "ingeniería social", a pesar de que la idea y muchas de las técnicas mencionadas han existido por siempre y ha habido estafadores de cualquier tipo.

Técnicas de ingeniería social:

Existen tres (3) tipos de técnicas según el nivel de interacción del ingeniero social:

Técnicas pasivas

• Observación

Técnicas no presenciales

• Recuperar la contraseña
• IRC u otros chats
• Teléfonos
• Carta y fax

Técnicas presenciales no agresivas

• Buscando en la basura
• Mirando por encima del hombro
• Seguimiento de personas y vehículos
• Vigilancia de edificios
• Inducción
• Entrada en hospitales
• Acreditaciones
• Agendas y teléfonos móviles
• Desinformación

Métodos utilizados por los atacantes:

Son varios los métodos que un delincuente utiliza para conseguir información o que se le facilite un acceso a un sistema restringido. Lo normal es que el atacante utilice una mezcla de los métodos existentes.

Métodos agresivos

• Suplantación de personalidad
• Chantaje o extorsión
• Presión psicológica

Autoridad falsa

Técnica muy usada que se basa en intentar convencer a la víctima de que el atacante está en una posición en la que esa información le es necesaria haciéndose pasar por un superior. Esta técnica puede ser empleada en empresas muy grandes, donde lo más normal es que un empleado no conozca a todos sus superiores, con lo que un atacante puede suplantar a uno de ellos y solicitar la información que necesita.

¿Por qué caen las personas en las técnicas de ingeniería social?

La gente puede caer en engaños todos los días. Y están en desventaja, ya que no han sido advertidos adecuadamente sobre los ingenieros sociales. El comportamiento humano es siempre el eslabón más débil de cualquier programa de seguridad. ¿Y quién puede culparlos? Sin la educación necesaria, la mayoría de las personas no reconocen los trucos de un ingeniero social ya que a menudo son muy sofisticados.

Los ingenieros sociales utilizan una serie de tácticas psicológicas en las víctimas inocentes. Como Bushwood Consultores manifiesta, los ingenieros sociales exitosos están seguros y tienen control de la conversación. Simplemente actúan como si pertenecieran a una asociación, a una empresa, universidad, grupo de amistades, colegas, etc., ya que su confianza y postura corporal pone a los demás a gusto.

Los ingenieros sociales confunden a la gente según cuatro (4) principios básicos:

• Proyectan confianza. En lugar de a escondidas, de manera proactiva se acercan y llaman la atención sobre sí mismos.
• Dan algo. Incluso un pequeño favor crea confianza y la percepción de estar en deuda.
• Usan el humor. Es entrañable y desarmado.
• Hacen una petición y ofrecen una razón. La psicología demuestra que las personas tienden a responder cualquier solicitud motivada.

Cuestionamientos acerca de las condiciones de seguridad de nuestros datos, sean personales o corporativos:

¿En espacios abiertos tenemos la precaución de verificar las condiciones en las cuales accedemos a nuestros equipos? ¿Alguien ve nuestras claves?, ¿Observan nuestra pantalla cuando ingresamos a redes sociales, cuentas de correo y demás? ¿Tenemos nuestros equipos celulares protegidos y la data debidamente asegurada? ¿Las personas que nos conocen, que tanta información nuestra revelan? ¿Con qué facilidad lo hacen? ¿A nivel corporativo qué medidas de control se tienen para con los contratistas y terceros? ¿Se tienen establecidos acuerdos de confidencialidad? ¿Se tienen medidas de control y protección de la data cuando se requiere soporte a equipos de cómputo? ¿Se tienen políticas en cuanto a la apertura de e-mails de cuentas desconocidas? ¿Se descargan archivos adjuntos, sin conocer realmente a su remitente? ¿Se sabe cómo validar un remitente?

¿Cómo evitar la ingeniería social?

La mejor manera de evitar los ataques de ingeniería social es saber cómo detectarlos al verlos. Una vez que cae en las redes de un ingeniero social, puede ser difícil librarse de ellas. Afortunadamente, no necesita ser un experto en tecnología para seguir buenas prácticas de ingeniería social. Lo único que necesita es su intuición y sentido común.

A continuación, algunas recomendaciones:

Cambie la configuración de spam en el correo electrónico

Una de las formas más fáciles de protegerse de los ataques de ingeniería social es ajustar la configuración de su correo electrónico. Puede reforzar sus filtros de spam y evitar que se cuelen en su bandeja de entrada correos electrónicos de spam de ingeniería social. El procedimiento para configurar los filtros de spam puede variar en función del cliente de correo electrónico que utilice.También puede añadir las direcciones de correo electrónico de personas y organizaciones que sepa que son legítimas a sus listas de contactos digitales: cualquiera que en el futuro diga ser ellos, pero que utilice una dirección diferente, es probablemente un ingeniero social.

Investigue la fuente

Si recibe un mensaje de correo electrónico, un SMS o una llamada telefónica de una fuente no conocida, búsquela en un motor de búsqueda para ver qué aparece. Si forma parte de un ataque de ingeniería social conocido, el remitente puede haberse identificado como tal previamente. Incluso si el remitente parece legítimo, compruébelo de todos modos, porque la dirección de correo electrónico o el número de teléfono pueden resultar ser solo ligeramente diferentes de la fuente real, y pueden estar vinculados a un sitio web inseguro.

Este método no siempre funciona si el número de teléfono ha sido falsificado como parte del ataque de ingeniería social. Si una búsqueda en la web no muestra nada, otra forma de evitar un ataque es contactar directamente con la organización que dice haberse puesto en contacto con usted.

Si algo parece demasiado bueno para ser cierto, seguramente será falso

Las habilidades básicas de pensamiento crítico son una de las mejores maneras de evitar que le ocurra un ataque de ingeniería social.

Parece bastante claro que unos famosos regalando miles de dólares en bitcoines suena demasiado bueno para ser verdad. En esta forma de ataque de ingeniería social, la intuición y el sentido común pueden ser la clave. Desconfíe de las ofertas que ofrecen grandes recompensas a cambio de una tarifa aparentemente pequeña. Y, si la solicitud parece venir de alguien que conoce, pregúntese «¿De verdad me pediría esta información de este modo?».

Utilice software de seguridad y confianza

Puede ahorrarse el tiempo y las molestias de tener que comprobar las fuentes y evitar ataques de ingeniería social gracias al software antivirus de confianza, que son capaces de detectar mensajes o páginas web sospechosas. Este software de seguridad detecta y bloquea malware e identifica posibles ataques de phishing antes de que tengan la oportunidad de actuar sobre usted.

Fuentes:

http://repository.unipiloto.edu.co/bitstream/handle/20.500.12277/2712/Trabajo%20de%20grado3383.pdf?sequence=1&isAllowed=y

https://n9.cl/9kqps

http://www.redicces.org.sv/jspui/bitstream/10972/2910/1/Articulo6.pdf

https://www.avast.com/es-es/c-social-engineering