¿Qué es… ingeniería social?

Ingeniería social es el hecho de manipular a las personas para que realicen una acción específica en beneficio del atacante. Si te suena a una estafa, estarás en lo cierto.

Pero la I.S. va mucho más allá del simple fraude, pues muchas el objetivo no es obtener un beneficio si no situarse más cerca de la meta, consiguiendo poco a poco escalar posiciones hasta que su ataque final pueda ser realizado.

Se trata de una parte clave en las actividades cibercriminales, especialmente en las campañas de phishing. Pero ¿qué es la ingeniería social exactamente?

La I.S. se basa en técnicas asociadas a nuestras relaciones sociales. Vivimos en sociedades en las que debemos acatar ciertas normas que marcan nuestro comportamiento. También hay ciertas reglas de conductuales presentes en culturas muy diversas.

Son técnicas muy simples, pero si se realizan de forma adecuada, muy efectivas. Debemos tratar de identificarlas, para que al que detectarlas suenen todas las alarmas en y realicemos las verificaciones oportunas para corroborar si se trata o no de un ataque.

Los estafadores tienen muchas armas en su arsenal de ingeniería social con que atacarnos. Estas incluyen:

• Crear una sensación de urgencia, por ejemplo marcando una hora límite para actuar.
• Haciéndose pasar por alguien importante como puede ser el dueño de tu empresa.
• Mencionando eventos actuales que den mayor verisimilitud al mensaje.
• Ocultando URLs maliciosos, haciéndolos pasar por legítimos.
• Ofrecer una recompensa como un regalo o una promoción.

El phishing no puede funcionar sin el primer paso, la ingeniería social, que nos persuade en realizar una acción específica. Pero la ingeniería social se está convirtiendo cada día en algo más sofisticado y especifico, ya que los atacantes quieren estar un paso por delante de los usuarios o tienen objetivos más grandes y estratégicos.

Por supuesto, la ingeniería social no se limita a las campañas de phishing por correo electrónico.

La I.S. puede ocurrir en las redes sociales, en persona o a través del teléfono, como una inocente llamada de teléfono que recibes en tu trabajo de un supuesto soporte técnico que requiere conocer detalles como el sistema operativo que usa tu empresa, información que  resulta ser imprescindible para un atacante.

Puede ser difícil evitar completamente ser víctima de este tipo de ataques, pero hay una serie de cosas que siempre debes tener en mente:

• Confía en tu instinto. Si algo huele mal, tomate tu tiempo, no hagas nada y verifica la situación.
• Si alguien te pide información sensible por el teléfono, como tu nombre de usuario y contraseña, cuelga. Un soporte técnico ya dispondrá de esos datos y nunca te los pedirá.
• Evita abrir ficheros adjuntos no solicitados y seguir enlaces que aparecen en correos electrónicos, especialmente cuando no los has requerido.
• Recuerda que tú tienes el control. No dejes que nadie te diga lo que tienes que hacer, especialmente cuando no estás seguro de que sea lo correcto.

Para finalizar mantente alerta y cauteloso. Si algo parece demasiado bueno para ser verdad, seguro que no lo es.

 

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación: