Tabla de contenidos
La ingeniería social es un término general que se utiliza para describir una variedad de diferentes técnicas de manipulación social y fraude. Estos métodos están destinados principalmente a explotar a las personas crédulas como un «punto débil». La ingeniería social no es una tecnología nueva. Se utilizó en relación con información confidencial mucho antes de la llegada de la World Wide Web.
Información general sobre ingeniería social
Hoy en día, las empresas en particular son un objetivo extremadamente popular para los ataques de ingeniería social debido a sus datos valiosos. Las siguientes técnicas se utilizan generalmente en este contexto :
- Phishing.
- Fraude de CEO
Con estos ataques, los piratas informáticos intentan explotar la vulnerabilidad «humana» para obtener acceso no autorizado a información confidencial. Debido a la naturaleza especial de estos ataques, muchos programas antivirus y de malware llegan a sus límites, ya que no existe ningún exploit o virus que se pueda eliminar con un software de seguridad. La formación de los empleados y la conciencia de esta fuente potencial de peligro son los requisitos previos más importantes para reprimir esta forma de ciberdelito.
Definición de ingeniería social
Los métodos y técnicas de la ingeniería social están dirigidos al factor humano como las llamadas «técnicas de influencia social». Los diferentes tipos y formas de fraude se han utilizado con gran éxito durante décadas, tanto en línea como fuera de línea. Sin embargo, en el uso moderno del término «ingeniería social», se refiere a las diversas formas de ciberdelito.
Tanto los particulares como las grandes corporaciones internacionales se enfrentan a métodos cada vez más sofisticados de manipulación social. Todos estos métodos comparten la característica común de que explotan explícitamente la debilidad de la voluntad humana o la ingenuidad de los empleados desprevenidos. Algunos ejemplos bien conocidos son:
- Phishing de correo electrónico
- Phishing de voz
Casi todos los usuarios privados de Internet tienen experiencia con estos métodos.
Objetivos de fraude
En los primeros días de la World Wide Web en la década de 1990, las conexiones a Internet eran generalmente mínimas y tendían a ser muy lentas. Por esta razón, las universidades más grandes o las compañías telefónicas a menudo actúan como objetivos de los piratas informáticos en el contexto de la ingeniería social.
Uno de los objetivos de los ataques de piratas informáticos era obtener acceso no autorizado a conexiones rápidas de Internet y una gran potencia informática. Hoy en día, los ciberdelincuentes se dirigen principalmente a datos e información que se pueden vender bien o utilizar con fines ilegales. Estos incluyen, por ejemplo:
- información confidencial de la empresa
- Datos de la tarjeta de crédito y de la cuenta bancaria
- Datos de acceso (nombres de usuario y contraseñas) para cuentas
En principio, la información que puede utilizarse con fines ilegales es de interés para los piratas informáticos. Los objetivos humanos son principalmente los empleados que están en contacto frecuente con las personas que llaman y para quienes es una cuestión de rutina responder preguntas. Por esta razón, los agentes de soporte son un objetivo particularmente popular, ya que generalmente tienen suficiente información y autoridad para dar acceso al ciberdelincuente a la información deseada.
En muchos casos, solo revelar ciertos números de teléfono o direcciones de correo electrónico es suficiente para continuar con el ataque. También información en internet los proveedores de servicios (ISP) o el software de seguridad que se utiliza en la empresa son interesantes para los piratas informáticos.
Técnicas y ejemplos de ingeniería social
A lo largo de los años, las siguientes tres técnicas han demostrado ser particularmente efectivas en ingeniería social:
- Phishing: se trata de una forma de manipulación social muy conocida y extremadamente versátil. Los piratas informáticos , los empleados y los usuarios intentan obtener información confidencial con los llamados «correos electrónicos de phishing». En este contexto, el miedo y la urgencia se utilizan a menudo, por ejemplo, para obtener números de tarjetas de crédito o información bancaria en línea.
- Cebo: como parte de esta técnica de ingeniería social, los piratas informáticos confían en el cebo. Los ciberdelincuentes se dirigen explícitamente a la curiosidad de las personas, que se explota para obtener acceso a información confidencial o para instalar malware en la computadora de la víctima.
- Fraude del CEO: el enfoque del fraude del CEO se basa en el llamado «truco del nieto» que se ha utilizado fuera de TI durante décadas. Aquí, los delincuentes se hacen pasar por directores generales u otros superiores asumiendo su identidad, por ejemplo, a través de direcciones de correo electrónico falsas o pirateadas de las personas interesadas.
Prevención
La amenaza que representa la manipulación social solo puede contrarrestarse eficazmente con una conciencia pronunciada de los peligros. Una contraseña segura o un software antivirus de alto rendimiento ofrecen prácticamente ninguna protección contra las técnicas de ingeniería social.
La mayor vulnerabilidad es el empleado desprevenido. Por esta razón, no existen soluciones de seguridad que ofrezcan una protección confiable contra la ingeniería social. En las grandes empresas en particular, el hecho de que puedan garantizar una buena protección contra la ingeniería social y procesos de trabajo eficientes es un gran desafío.
A partir de un cierto tamaño de la empresa, es cada vez más probable que todos los empleados no se conozcan entre sí, por lo que dichos empleados representan un objetivo ideal para los métodos de manipulación social. Por eso, es importante preguntar y confirmar la identidad del otro con cada contacto.