Ingeniería Social

La Ingeniería Social es el acto de manipular a una persona a través de técnicas psicológicas y habilidades sociales para cumplir metas específicas. Éstas contemplan entre otras cosas: la obtención de información, el acceso a un sistema o la ejecución de una actividad más elaborada (como el robo de un activo), pudiendo ser o no del interés de la persona objetivo.

Técnicas más comunes de ingeniería social:

PHISHING

El ‘phishing’ viene del término en inglés de pescar. Los criminales informáticos tiran correos con ‘anzuelos’ para ver si alguien cae en la trampa. Con mucha inteligencia, los atacantes se hacen pasar por un miembro del equipo de TI o algún ejecutivo para pedir las credenciales de acceso al sistema a una víctima desconcertada.

ACCESO NO AUTORIZADO

Los atacantes son tan atrevidos que muchos se ponen una corbata y crean una identificación falsa para entrar a las instalaciones de la compañía como un ejecutivo más. Como bastantes empresas implementan tarjetas de seguridad, los atacantes saben que las convenciones sociales son más importantes que la seguridad y esperan que algún empleado legítimo le ‘tenga la puerta’ para poder entrar sin pasar por los controles de seguridad.

LOS VIRUS POR CORREO ELECTRÓNICO

El correo electrónico sigue siendo uno de los medios más habituales para aprovechar la ingeniería social. Nos llegan los mensajes desde dominios conocidos y en los que confiamos, incluso remitentes que pueden ser amigos o familiares previamente infectados. Un ejemplo sería virus de Correos que propaga ransomware.

En el caso del virus de la Policía, los atacantes utilizaban el miedo de los usuarios avisando de que se había detectado el acceso a contenidos ilegales, pedófilos, imágenes violentas, etc. Muchos usuarios reconocían haberse infectado después de visitar páginas de dudosa reputación.

¿CÓMO DEFENDERSE CONTRA LA INGENIERÍA SOCIAL?

La mejor manera de enfrentar el problema es concientizar a las personas al respecto. Educarles sobre seguridad y fomentar la adopción de medidas preventivas. Otros mecanismos sugeridos son:

Nunca divulgar información sensible con desconocidos o en lugares públicos (como redes sociales, anuncios, páginas web, etc.).

Si se sospecha que alguien intenta realizar un engaño, hay que exigir se identifique y tratar de revertir la situación intentando obtener la mayor cantidad de información del sospechoso.

Implementar un conjunto de políticas de seguridad en la organización que minimice las acciones de riesgo.

Efectuar controles de seguridad física para reducir el peligro inherente a las personas.

Realizar rutinariamente auditorías y pentest usando Ingeniería Social para detectar huecos de seguridad de esta naturaleza.

Llevar a cabo programas de concientización sobre la seguridad de la información.