¿Qué es la Ingeniería social?
El eslabón más débil en la seguridad de la información de cualquier organización es su personal interno. Los atacantes necesitan información acerca de sus objetivos para poder realizar los ataques, y una de las maneras más fáciles de obtener información valiosa para este propósito es que se la proporcione el propio personal de las organizaciones objetivo, en esto consiste la ingeniería social.
¿Qué es la ingeniería social en seguridad informática?
La ingeniería social es el conjunto de técnicas utilizadas para obtener información confidencial: usuarios y contraseñas, número de tarjetas de crédito, secretos comerciales… Esto se consigue con manipulación y técnicas engañosas utilizadas por los cibercriminales y que animan al usuario a que realice una determinada acción.
No debemos confundirla con la ingeniería social inversa, en la que el atacante actúa de manera no activa, es decir, realizará algún tipo de acción para que la víctima voluntariamente revele la información sin ser solicitada. Por ejemplo, dañará el ordenador de la víctima de alguna manera para que después el usuario solicite que se lo arregle y así poder obtener la información.
¿Para qué se utiliza?
Se utiliza para obtener información de interés para cometer ataques contra objetivos, obtener ventajas económicas y comerciales, causar daño y perjuicios.
Tipos de ingeniería social
En la ingeniería social los atacantes usan habilidades sociales para engañar a sus víctimas y conseguir información personal tal como números de tarjetas de crédito, cuentas bancarias o información confidencial sobre las organizaciones o sus sistemas de TIC y así poder lanzar ataques o cometer fraude.
Los tipos de ingeniería social son:
- Basada en personas: involucra la interacción con individuos, normalmente por teléfono. Con el pretexto de ser una persona legítima o autorizada, el atacante interactúa con personas de la organización para obtener información sensible, por ejemplo, haciéndose pasar por personal del departamento de TI. Esta práctica fraudulenta es conocida como vishing.
- Basada en computadores: utilizando la tecnología obtienen la información necesaria para sus ataques, por ejemplo, a través de correos electrónicos que parecen ser de la organización u organizaciones legítimas y que contiene links a sitios maliciosos donde se solicitan datos sensibles de las personas. Esta última técnica de engaño es comúnmente conocida como phishing.
- Mediante el desarrollo de apps maliciosas que imitan a aplicaciones populares y que infectan los dispositivos para obtener información sensible a través de mensajes SMS con links a sitios maliciosos.
¿Cómo se puede evitar?
No se puede evitar el riesgo de sufrir ataques de ingeniería social, pero sí se puede adoptar una serie de recomendaciones básicas de seguridad:
- Desarrollar e implementar una política de seguridad de la información y los procedimientos e instrucciones técnicas que la sustentan.
a. Gestión de usuarios y contraseñas.
b. Controles de acceso físico a las instalaciones.
c. Controles de acceso lógico a los sistemas y a la red. - Formar y concienciar a los empleados en la política, procedimientos e instrucciones de seguridad de la información de la organización y en buenas prácticas de seguridad.
- Establecer acuerdos formales con los empleados sobre política de seguridad, procedimientos, instrucciones técnicas, usos aceptables de los equipos, buenas prácticas de seguridad y posibles penalizaciones por su no cumplimiento.
- Realizar campañas de concienciación sobre ingeniería social y pruebas para detectar cómo de efectivas son las medidas tomadas por la organización para defenderse de ella.
Los ataques de ingeniería social son habituales para obtener datos sensibles, en muchas ocasiones, claves o códigos de una persona e información de carácter empresarial. La mejor defensa, en estos casos, es la formación y concienciación en buenas prácticas de seguridad.
Te puede interesar
Mantén tus contraseñas seguras
Mantén tus contraseñas seguras
Protege tu información y tu equipo
Protege tu información y equipo
App Santander: tu banco abierto 24 h