3 minute read
Ingeniería Social
¿Alguna vez habías escuchado el término? ¿Sabes a qué se refiere y cómo prevenirla?
Hoy aprovecho este espacio para platicarte sobre este tema tan interesante que, a pesar de existir desde hace muchos años con el avance tecnológico y la llegada de la era digital, han sido el escenario perfecto para influir en muchas de nuestras decisiones.
Nos creemos libres y dueños de nuestras conductas cuando, en realidad, siempre estamos siendo influenciados para controlar cada uno de nuestros movimientos.
Por: Zabdi Lizbeth Chabolla González, Compliance Lead. Smurfit Kappa México. www.linkedin.com/in/ zabdichabolla-auditorsistemas
Algunos definen la Ingeniería Social como un intento por controlar pensamiento, creencias y comportamientos de la población. Por tanto, son muchos los ámbitos y los escenarios que harán uso de esta táctica para obtener beneficio hasta el punto de que nada es casual.
Todo lo que vemos en los medios, hacemos en nuestros dispositivos electrónicos o leemos en nuestras redes sociales tiene un porqué y responde a los diferentes algoritmos creados para obtener nuestros patrones de comportamiento, de tal forma que nos pueden ayudar a reforzarlos o cambiarlos, tal como lo hace la publicidad para que compremos algún producto en específico.
Ingeniería Social
En el contexto de la seguridad de la información, es el proceso de manipular a las personas para que realicen acciones que violen los protocolos de seguridad. Hace referencia a un conjunto de técnicas que utilizan los criminales cibernéticos para engañar a los usuarios finales y así obtener datos confidenciales, infectar sus computadoras con malware (software malicioso) o para que abran links de sitios infectados.
Su objetivo final siempre será obtener ventaja de la situación para pedir algo a cambio de regresarnos la información y/o control de nuestros dispositivos. Es por ello que siempre debemos estar atentos a lo que recibimos por medios electrónicos, páginas que consultamos, a quién damos nuestros datos personales y, sobre todo, a qué tipo de links ingresamos ya que utilizan nuestros sesgos cognitivos para hacernos confiar en quien no debemos, damos por válidos estímulos o situaciones que, por resultarnos familiares, hacen que no veamos el riesgo que esto implica.
Los ataques de ingeniería social explotan características humanas como confianza básica en los demás, deseo de brindar asistencia o propensión a lucirse. Numerosos trabajadores y consumidores no se dan cuenta de que, con solo un poco de información (como nombre, fecha de nacimiento o dirección), los atacantes pueden acceder a múltiples redes haciéndose pasar por usuarios legítimos o miembros del personal de TI.
Los ataques más comunes de ingeniería social en medios digitales son:
• Shoulder Surfing: Ataque de seguridad donde el atacante usa técnicas de observación, como mirar por encima del hombro de alguien para obtener información mientras se desempeñan alguna acción que implica el uso explícito de información sensible y visible.
• Spam: Correos electrónicos de contactos que no tenemos en nuestra lista y que por lo general esconden en ellos serias estafas.
• Phising: Correos electrónicos que parecen provenir de una fuente fiable, quizá cambiando solo una letra del dominio original, para robar datos personales o financieros.
• Whalling: Ataque de phishing específicamente dirigido a los altos ejecutivos de la empresa, llamado así ya que se considera que la víctima es de alto valor, y la información robada será más valiosa de lo que un empleado regular puede ofrecer.
• Baiting: Hace uso de dispositivos infectados con malware (software malicioso).
• Dumpster Diving: Método de búsqueda a través del contenedor de basura para obtener información potencialmente útil.
• Smishing: Hace uso de los mensajes de texto (SMS) para obtener información personal como contraseñas o números de tarjetas de crédito a través de links no confiables.
• Pretexting: Los atacantes se hacen pasar por personas conocidas para obtener nuestra información.
Como puedes notar, la ingeniería social digital es cada vez más sofisticada. Con los constantes avances tecnológicos y la llegada de la inteligencia artificial debemos ser más atentos y hábiles para detectar los diferentes mecanismos que utilizan los atacantes para el robo de nuestros datos.
Es muy importante estar siempre alerta y desarrollar una conducta adecuada al utilizar cualquier tipo de dispositivo y/o equipo:
1. No revelar información personal ni datos confidenciales (credenciales, números de tarjetas de créditos, cuentas bancarias, etc.) por teléfono, email o servicios de mensajería instantánea.
2. Tener cuidado al compartir información, evitar exponerse en internet y en redes sociales publicando información personal (número de teléfono, dirección, hábitos, etc.).
3. Verificar archivos adjuntos. No descargarlos si se desconoce su contenido, aunque provengan de un contacto conocido.
4. Instalar y mantener siempre actualizado un antivirus en todos los dispositivos.
La manera principal de mitigar los ataques de ingeniería social, es la formación y concienciación de los usuarios en buenas prácticas de seguridad de la información y en el cumplimiento de las políticas y procedimientos de seguridad de las organizaciones.
Fuentes: www. latam.kaspersky.com www.isaca.org
