Los ataques de ingeniería social constan de múltiples fases. Un perpetrador inicialmente analiza a la víctima objetivo para obtener la información de antecedentes necesaria para llevar a cabo el asalto, como posibles rutas de entrada y mecanismos de seguridad débiles. Este artículo explicará la ingeniería social, los ataques de ingeniería social, cómo protegerse de la ingeniería social y ejemplos de ingeniería social.
Esta es la práctica de manipular a las personas en un contexto en línea convenciéndolas de que brinden información personal confidencial, como números de cuenta, contraseñas o información bancaria de buena fe.
La ingeniería social también puede ocurrir cuando el “ingeniero” le pide a la víctima que transfiera dinero a lo que la víctima cree que es una institución financiera o una persona con la que la víctima hace negocios, pero el dinero termina en la cuenta del “ingeniero”.
Los planes de seguro cibernético y de privacidad pueden cubrir las pérdidas resultantes de la ingeniería social si tienen una garantía para ello, pero el monto de la cobertura suele ser un máximo de $100,000. Además, la cobertura de ingeniería social, que también se conoce como "cobertura de instrucción fraudulenta", está disponible solo como cobertura adicional por encima de los límites de cualquier póliza de seguro contra delitos comerciales aplicable.
¿Qué es la ingeniería social?
La ingeniería social es una forma de obtener información, acceso o bienes privados aprovechando los errores de las personas. En el ciberdelito, estas estafas denominadas "hackeo humano" se utilizan a menudo para engañar a los usuarios que no saben lo que está pasando para que revelen datos, propaguen ataques de malware o den acceso a sistemas que deben mantenerse privados. Los ataques pueden ocurrir en persona, en línea o de otras maneras.
La ingeniería social es un tipo de fraude que se basa en cómo piensan y actúan las personas. Debido a esto, los ataques de ingeniería social son una excelente manera de cambiar la forma en que actúa una persona. Una vez que un atacante sabe qué hace que un usuario haga lo que hace, puede engañar y controlar bien al usuario.
Además, los piratas informáticos intentan aprovecharse de la falta de experiencia de un usuario. Debido a que la tecnología avanza tan rápido, muchos clientes y trabajadores no conocen los riesgos, como las descargas ocultas. Es posible que las personas tampoco se den cuenta de la importancia de la información personal, como su número de teléfono. Debido a esto, muchos usuarios no saben cómo mantenerse a salvo ellos mismos y su información.
Lea también: HACKERS EN LÍNEA: 10 tipos de piratas informáticos y los peligros y cómo te dañarán
Ataque de ingeniería social
Los ataques que involucran ingeniería social pueden tomar muchas formas diferentes y pueden ocurrir en cualquier lugar donde las personas hablen entre sí. Estas son las cinco formas más comunes en que uno puede experimentar ataques de ingeniería social.
#1. cebo
Los ataques de cebo, como su nombre indica, utilizan una oferta falsa para que una persona sea codiciosa o curiosa. Las personas se engañan y caen en una trampa que roba su información privada o instala malware en sus computadoras.
El malware se propaga a través de los medios reales, que es el tipo de hostigamiento más odiado. Por ejemplo, los atacantes dejan el cebo, que suele ser una unidad flash con malware, en lugares donde las víctimas potenciales seguramente lo verán, como baños, ascensores y el estacionamiento de una empresa a la que apuntan. El cebo parece real, con cosas como una etiqueta que dice que es la lista de salarios de la empresa.
Las personas muerden el anzuelo porque sienten curiosidad y luego lo colocan en una computadora en el trabajo o en el hogar, lo que automáticamente instala malware en el sistema.
Las estafas que usan cebo no tienen que ocurrir en el mundo real. El cebo en línea toma la forma de anuncios que se ven bien pero conducen a sitios dañinos o intentan que las personas descarguen software que está infectado con malware.
#2. espantapájaros
El scareware es un tipo de ataque de ingeniería social. Implica enviar muchas advertencias falsas y amenazas falsas a las personas. Se engaña a los usuarios haciéndoles creer que su computadora está infectada con malware, lo que hace que ejecuten software que no hace nada útil (excepto para la persona que lo hizo) o que es malware en sí mismo. El scareware también se denomina fraude, software de escáner ilegal y software de engaño.
El scareware a menudo viene en forma de pancartas emergentes que parecen reales y dicen cosas como: "Su computadora puede estar infectada con programas de spyware dañinos". Le ofrecerá instalar la herramienta por usted (que a menudo está contaminada con malware) o lo enviará a un sitio malicioso que infectará su computadora.
El scareware también se propaga a través de correos electrónicos no deseados que dan advertencias falsas o intentan que las personas compren servicios inútiles o dañinos.
#3. pretextando
Pretexting es otra forma de ataque de ingeniería social que ocurre cuando un atacante obtiene información a través de una sucesión de mentiras cuidadosamente diseñadas. Alguien que afirma necesitar la información confidencial de la víctima para completar una tarea importante suele iniciar la estafa.
El atacante suele empezar haciéndose pasar por un compañero de trabajo, un oficial de la ley, un banquero o un funcionario de impuestos, o cualquier persona con derecho a saber. El impostor hace preguntas que parecen ser necesarias para verificar la identidad de la víctima, pero en realidad se utilizan para obtener información personal importante.
Esta estafa recopila todo tipo de información y registros importantes, como números de seguro social, direcciones personales y números de teléfono, registros telefónicos, fechas de vacaciones del personal, registros bancarios e incluso información sobre la seguridad de una planta real.
#4. Suplantación de identidad
Las estafas de phishing son campañas de correo electrónico y mensajes de texto que intentan que las personas sientan que deben actuar rápidamente, que tienen curiosidad o miedo. Este es un tipo muy común de ataque de ingeniería social. Luego los engaña para que brinden información privada, hagan clic en enlaces a sitios web maliciosos o abran archivos adjuntos que contienen malware.
Un ejemplo es un correo electrónico que reciben los usuarios de un servicio en línea cuando incumplen una regla que les exige hacer algo de inmediato, como cambiar su contraseña. Tiene un enlace a un sitio web falso que se ve casi exactamente como el real. Este sitio web falso le pide al usuario que ingrese su información de inicio de sesión actual y una nueva contraseña. La información se envía al atacante cuando se envía el formulario.
Dado que los esquemas de phishing envían el mismo o casi el mismo mensaje a todos los usuarios, es mucho más fácil para los servidores de correo que tienen acceso a las plataformas de intercambio de amenazas encontrarlos y detenerlos.
Lea también: Consultores de ciberseguridad: descripción general y mejores proveedores en 2023
Protéjase de la ingeniería social
En los ataques de ingeniería social, el atacante intenta obtener acceso a datos o servicios estableciendo relaciones con personas cuya confianza puede utilizar. Mantenerse alerta es la primera línea de defensa. El atacante podría tratar de hablarte de una manera que se convierta en un interrogatorio. Pero la mejor manera de protegerse de la ingeniería social es saber en quién puede confiar y ser digno de confianza. Debe averiguar quién podría acceder o cambiar su cuenta y asegurarse de que tenga una buena razón para hacerlo. Aquí hay formas de protegerse de la ingeniería social.
#1. Remitentes desconocidos (correos electrónicos frente a mensajes de texto)
Mire de cerca la dirección de correo electrónico del remitente y el mensaje en sí. Es importante saber que no tiene que hacer clic en ningún enlace a documentos dudosos.
#2. Deje de compartir información personal
Antes de dar información personal como contraseñas y números de tarjetas de crédito, debe pensarlo. Ninguna empresa o persona real debería solicitar este tipo de información privada. Utilice contraseñas que sean difíciles de adivinar y cámbielas con frecuencia. Si usa la misma contraseña para más de una cuenta, podría ser el objetivo de un ataque de ingeniería social.
#3. Capas de seguridad
Siempre que puedas, utiliza la verificación con dos factores. Puede agregar una capa adicional de seguridad al pedirles a los usuarios que ingresen su nombre de usuario, contraseña y un código enviado a su teléfono móvil. Configure códigos de seguridad para su correo electrónico y número de teléfono para que si alguien ingresa a cualquiera de los sistemas, no pueda usar su cuenta directamente.
#4. Software antivirus
Instale software antivirus y antimalware en cada dispositivo que posea. Mantenga estos programas actualizados para que puedan protegerlo de las amenazas más recientes. Pero si tiene un software antivirus cargado en sus dispositivos, puede ser una gran defensa contra la ingeniería social.
#5. Sea siempre consciente de cualquier riesgo
Siempre debes pensar en los riesgos. Asegúrese de que cualquier llamada de información sea correcta revisándola dos o incluso tres veces. Esté atento a las noticias de seguridad cibernética si una violación reciente le ha causado daño.
Ejemplo de ingeniería social
Hay muchos ejemplos de ingeniería social en las noticias, pero aquí hay cinco para darle una idea de cómo funciona:
#1. hotel marriott
Usando métodos de ingeniería social, un grupo de piratas informáticos robó 20 GB de datos personales y financieros de un hotel Marriott. Los piratas informáticos consiguieron que un trabajador del hotel Marriott les diera acceso a la computadora del trabajador.
#2. Departamento de Trabajo de EE. UU. (DoL)
Este fue un ejemplo de ataque de ingeniería social que robó información de inicio de sesión para Office 365. El ataque se realizó con phishing inteligente, usando dominios falsos que se veían exactamente como el dominio DoL real. Parecía que los correos electrónicos procedían de un trabajador senior del DoL que les pedía que pujaran por un trabajo del gobierno. Cuando el empleado hizo clic en el botón "Ofertar", fue llevado a un sitio de "phishing", que se utiliza para robar contraseñas.
#3. Usuarios de Zoom
Una operación de phishing dirigida a empleados afectó al menos a 50,000 personas. Los ingenieros sociales utilizaron el miedo a ser despedidos para que los trabajadores hicieran clic en un enlace para programar una reunión de Zoom con Recursos Humanos. Cuando el empleado hizo clic en el enlace, lo llevó a una página de inicio de sesión de Zoom falsa que estaba configurada para robar contraseñas.
#4. FACC (fabricante de aviones austríaco)
FACC sufrió una pérdida de alrededor de 42 millones de euros como resultado de una estafa compleja de compromiso de correo electrónico comercial (BEC). La cuenta de correo electrónico del director ejecutivo de la empresa fue pirateada y utilizada para enviar una solicitud "urgente" de transferencia de dinero. Este correo electrónico engañó a una persona que trabajaba en cuentas por pagar, quien accedió al pedido y envió el dinero al ladrón.
#5. Devolución de llamada de Crowdstrike
La ingeniería social es tan poderosa que incluso las empresas de seguridad la sienten. Crowdstrike ahora se usa como parte y un ejemplo en el juego de la ingeniería social. Los estafadores envían correos electrónicos de phishing a los trabajadores utilizando el nombre de confianza de Crowdstrike y otras empresas de seguridad. El correo electrónico tiene información sobre un posible ataque de malware y un número de teléfono para llamar y deshacerse de cualquier malware que se haya instalado. Se engaña al empleado para que le dé al atacante acceso a su computadora si llega al número.
Lea también: ¿QUÉ ES LA SEGURIDAD CIBERNÉTICA? Ejemplos, Amenaza e Importancia
Conclusión
Para protegerse de las amenazas de ingeniería social, debe aprender a protegerse. Dado que ya le contamos sobre algunos métodos probados y verdaderos y ejemplos de ataques de ingeniería social que se han utilizado en todo el mundo durante mucho tiempo, asegúrese de comenzar a tomar medidas de inmediato. Los ataques de ingeniería social pueden dañar la carrera de una persona en cuestión de segundos. Utilice siempre dos códigos de verificación de inicio de sesión configurados para proteger sus dispositivos, contraseñas y otros inicios de sesión. Esta es otra medida de seguridad.
¿Qué es la ingeniería social en cibernética?
Este es un término para todos los métodos utilizados para engañar a alguien para que proporcione información o haga algo que no debería.
¿Cuál es la ingeniería social más común?
Los ataques más comunes son:
- Ataques por Phishing.
- Hackeo enfocado.
- Ballenero.
- Tanto smishing como vishing.
- cebo
- Llevar a cuestas o seguir rueda atrás.
- Pretexting.
- (BEC) Compromiso de correo electrónico comercial
¿Es la ingeniería social la mayor amenaza?
La ingeniería social es un tipo de ataque que depende en gran medida del contacto humano y, por lo general, implica engañar a las personas para que infrinjan los procedimientos de seguridad normales y las mejores prácticas para obtener acceso ilegal a sistemas, redes, lugares físicos o para ganar dinero.
¿Quién es el objetivo más probable de la ingeniería social?
Las personas ricas, conocidas o que ocupan puestos de alto nivel suelen ser el objetivo de los ataques de ingeniería social. Los delincuentes persiguen a las personas que tienen mucho poder y acceso.
¿Cuál es la mejor defensa contra la ingeniería social?
La gente piensa que la mejor manera de detener los ataques de ingeniería social es capacitar y educar a las personas que trabajan para una empresa.
¿Cómo se conoce también a la ingeniería social?
Debido a que se enfoca en las debilidades humanas en lugar de las de los sistemas tecnológicos o digitales, la ingeniería social también se conoce como "piratería humana". Esto se debe al hecho de que su objetivo principal son las personas vulnerables.
Referencias
Artículos Relacionados
- GERENTE DE INGENIERÍA: definición, deberes, salario, software y preguntas de la entrevista
- Hacking ético: ¿Qué es y cómo funciona?
- Prevención y recuperación de billeteras y claves privadas de Ethereum perdidas
- SPOOFING DE CORREO ELECTRÓNICO: Cómo prevenirlo y detenerlo
- TRABAJO POSITIVO: significado, citas, afirmación y entorno
