Un ciberataque es cualquier intento malicioso de dañar, deshabilitar o hacerse cargo ilegalmente de sistemas informáticos, redes o datos digitales. Existen varios tipos de ciberataques, pero hay uno particularmente insidioso: la ingeniería social.
La ingeniería social es un tipo específico de ciberataque que no requiere tecnología avanzada ni conocimientos técnicos complejos. En lugar de eso, se centra en explotar el punto débil más común en la seguridad digital: las personas.
Este método astuto busca manipular a los usuarios para que realicen acciones que beneficien al atacante. El objetivo final es obtener información confidencial a la que solo el usuario tiene acceso.
Entre la mayoría de los ataques, tratarán de engañarlo con los siguientes comportamientos:
Intensificación de las emociones: la manipulación emocional les da a los atacantes la ventaja en cualquier interacción. Es mucho más probable que realice acciones irracionales o arriesgadas cuando no se encuentra en un buen estado emocional. Las siguientes emociones se utilizan en igual medida para convencerlo.
-
• Miedo
• Entusiasmo
• Curiosidad
• Ira
• Culpa
• Tristeza
Urgencia: las oportunidades o solicitudes urgentes son otra herramienta confiable en el arsenal de un atacante. Es posible que se sienta motivado a comprometerse ante aparentes problemas graves que necesita atención inmediata. También le pueden decir que hay un premio o recompensa que puede desaparecer si no actúa ya mismo. Cualquiera de los dos enfoques anula su capacidad de pensamiento crítico.
Confianza: la credibilidad es invaluable y esencial para un ataque de ingeniería social. Dado que el atacante en última instancia le está mintiendo, la confianza juega un papel importante aquí. Ha investigado lo suficiente sobre usted como para crear una historia fácil de creer y que no despierte sospechas.
Existen varios tipos de ataques de ingeniería social. Al entender bien la definición de la ingeniería social, además de su funcionamiento, nos será más fácil detectar los tipos de ataque, lo cuales se mencionan a continuación:
-
• Pretextos. Este ataque se basa en la creación de una historia falsa o un personaje ficticio para ganar la confianza del usuario para que este proporcione información.
• Baiting o anzuelo. Consiste en tender una trampa al ofrecer algo atractivo al usuario, puede ser tanto físicamente (una memoria USB infectada) como digitalmente (descargar un archivo interesante gratuito).
• Phishing. Estos ataques consisten en enviar mensajes de correo electrónico o de texto que fingen ser de una fuente confiable y en el cual se solicita información al usuario. Comúnmente, estos mensajes parecieran proceder de instituciones bancarias o bien del departamento de T.I. de la organización y solicitan al usuario sus credenciales de acceso con la amenaza de suspender o bloquear su cuenta de no hacerlo, esto lo logran redirigiendo al usuario a un portal muy similar al que ocupa para iniciar sesión.
• Vishing y Smishing. Estos ataques son una variante del phishing y consisten en llamar por teléfono al usuario y solicitarle información. El atacante se hace pasar por algún trabajador ya sea de un banco o bien del departamento de soporte técnico y solicita la información de inicio de sesión del usuario.
• Quid pro quo. En este tipo de ataque, simplemente se convence a la víctima de que obtendrá algo a cambio de su información.
• Spam a contactos y hackeo del correo electrónico. Después que el atacante logra ingresar a la cuenta del usuario usando alguna de las técnicas anteriores, manda mensajes a los contactos solicitando dinero haciéndose pasar por este. Otra técnica es enviar un mensaje con un enlace hacia un supuesto video, pero en realidad es un enlace para descargar malware.
Medidas de prevención
Los ataques basados en ingeniería social no son fáciles de contrarrestar, esto porque están diseñados para aprovechar rasgos humanos como la curiosidad, el respeto por la línea de autoridad y el deseo de ayudar a conocidos. Sin embargo, existen medidas de prevención que ayudarán a los usuarios a detectar este tipo de ataques, estas medidas van más enfocadas a una cultura de la información y no tanto a cuestiones técnicas. Tanto en la vida real, como en nuestra vida en internet, se debe tener presente que hay cosas de las que tenemos que desconfiar o tener particular cuidado.
Las siguientes son algunas recomendaciones para disminuir de manera importante la posibilidad de ser víctimas de la ingeniería social.
-
• Si recibe correos de remitentes desconocidos, hay que tratarlos con mucho cuidado, ya que no solo puede tratarse de un correo con información falsa, sino que puede contener enlaces o archivos adjuntos maliciosos.
• Recordar siempre que las entidades bancarias o instituciones en general nunca solicitarán información confidencial vía correo electrónico o información de acceso de su cuenta de usuario.
• Verificar que la página que visita para su banca en línea se trate de una página segura (la URL inicia con https:// ), así como la dirección de internet realmente pertenezca a la url del banco en cuestión.
• No enviar información de acceso personal por correo electrónico.
• Los ataques de ingeniería social no solo se limitan al correo electrónico, también las redes sociales, los sistemas de mensajería instantánea y los mensajes de texto de los teléfonos celulares son canales utilizados para los ataques.
La capacitación, la concientización y las políticas de seguridad son también medidas que ayudarán a disminuir los ataques de ingeniería social.
Conclusión
La ingeniería social es un desafío significativo para la seguridad y la privacidad en cualquier institución o empresa. Es importante tomar medidas de prevención, como la capacitación y concientización, las políticas de seguridad y las tecnologías de seguridad, para proteger la información confidencial y los sistemas. Al trabajar juntos el personal de T.I. y los usuarios, se podrá crear un entorno seguro y protegido para los estudiantes, docentes y personal administrativo.
Referencias
https://www.uv.mx/infosegura/general/conocimientos_ingenieriasocial-2 /
https://revista.seguridad.unam.mx/numero-03/ingenier%C3%AD-social-t%C3%A9cnica-de-ataque-eficaz-en-contra-de-la-seguridad-inform%C3%A1tica
https://www.kaspersky.es/resource-center/threats/how-to-avoid-social-engineering-attacks
https://www.iingen.unam.mx/es-mx/AlmacenDigital/CapsulasTI/Paginas/ingenieria-social.aspx
https://www.proofpoint.com/es/threat-reference/social-engineering#:~:text=La%20ingenier%C3%ADa%20social%20es%20una,conocida%20o%20una%20entidad%20leg%C3%ADtima.