Qué es la ingeniería social

Ingeniería social

En el contexto de la seguridad de la información, la ingeniería social es la manipulación psicológica de las personas para que realicen acciones o divulguen información confidencial. Esto difiere de la ingeniería social dentro de las ciencias sociales, que no se refiere a la divulgación de información confidencial. Se trata de un tipo de truco de confianza con el fin de obtener información, hacer un fraude o acceder a un sistema, y se diferencia de una «estafa» tradicional en que suele ser uno de los muchos pasos de un esquema de fraude más complejo[1].
Un ejemplo de ingeniería social es el uso de la función «olvido de contraseña» en la mayoría de los sitios web que requieren un inicio de sesión. Un sistema de recuperación de contraseñas mal protegido puede utilizarse para conceder a un atacante malintencionado acceso completo a la cuenta de un usuario, mientras que el usuario original perderá el acceso a la cuenta.
El comportamiento de los empleados puede tener un gran impacto en la seguridad de la información en las organizaciones. Los conceptos culturales pueden ayudar a los diferentes segmentos de la organización a trabajar eficazmente o a trabajar en contra de la eficacia hacia la seguridad de la información dentro de una organización. «Exploring the Relationship between Organizational Culture and Information Security Culture» proporciona la siguiente definición de cultura de seguridad de la información «La cultura de la seguridad de la información es el conjunto de patrones de comportamiento en una organización que contribuyen a la protección de la información de todo tipo»[3].

Comentarios

La ingeniería social es el arte de manipular a las personas para que entreguen información confidencial. El tipo de información que buscan estos delincuentes puede variar, pero cuando los individuos son el objetivo, los delincuentes suelen intentar engañarle para que les dé sus contraseñas o información bancaria, o acceder a su ordenador para instalar secretamente software malicioso, que les dará acceso a sus contraseñas e información bancaria, además de darles el control de su ordenador.
Los delincuentes utilizan tácticas de ingeniería social porque suele ser más fácil explotar su inclinación natural a la confianza que descubrir formas de piratear su software.    Por ejemplo, es mucho más fácil engañar a alguien para que te dé su contraseña que intentar hackear su contraseña (a menos que la contraseña sea realmente débil).
La seguridad consiste en saber en quién y en qué confiar. Es importante saber cuándo y cuándo no creer en la palabra de una persona y cuándo la persona con la que te comunicas es quien dice ser. Lo mismo ocurre con las interacciones en línea y el uso de sitios web: ¿cuándo confías en que el sitio web que utilizas es legítimo o es seguro para proporcionar tu información?

Explotar

¿Qué es la ingeniería social? El elemento humano en la estafa tecnológicaA menudo se señala que los seres humanos son el eslabón más débil cuando se trata de ciberseguridad. Para explotar esa vulnerabilidad, muchos hackers recurren a la ingeniería social para apoyar sus esfuerzos de ciberataque y obtener información valiosa. Los ingenieros sociales se centran en los seres humanos, más que en la tecnología, para reunir información útil. En la película «Atrápame si puedes», Leonardo DiCaprio interpreta a un joven Frank Abegnale, un notorio estafador que se hacía pasar por personal de una aerolínea, por abogado y por varios otros papeles para cometer falsificaciones de cheques y fraudes. Más tarde, Abegnale utilizó su talento para convertirse en consultor de seguridad.La ingeniería social lleva la estafa a la era digital. En lugar de utilizar las interacciones personales para establecer una relación y seducir a los usuarios para que realicen determinadas acciones, la ingeniería social aprovecha la falta de conocimiento de las herramientas digitales y la disposición a compartir en las plataformas digitales. El resultado final es el mismo: la manipulación psicológica que lleva a entregar información sensible.

Rootkit

Aunque esta forma de engaño siempre ha existido, ha evolucionado significativamente con las tecnologías TIC. En este nuevo contexto, las técnicas de ingeniería social en TI pueden considerarse desde dos ángulos diferentes:
El creciente uso de las tecnologías de la información ha conducido naturalmente a un aumento del uso de dichas técnicas, así como a su combinación, hasta el punto de que la mayoría de los ciberataques actuales incluyen alguna forma de ingeniería social.
En esta entrada se tratarán algunas de las técnicas más comunes: pretexting, baiting, quid pro quo y tailgating. Los ataques de phishing también se basan en la ingeniería social; este tema se ha tratado en una entrada anterior: Phishing/Spear phishing.
Los ataques quid pro quo son relativamente fáciles de detectar dado el valor asimétrico de la información en comparación con la compensación, que es opuesta para el atacante y la víctima. En estos casos, la mejor contramedida sigue siendo la integridad de la víctima y su capacidad para identificar, ignorar y denunciar.
El acceso a las zonas no públicas debe controlarse mediante políticas de acceso y/o el uso de tecnologías de control de acceso; cuanto más sensible sea la zona, más estricta será la combinación. La obligación de llevar una tarjeta de identificación, la presencia de un vigilante y las puertas reales antirretorno, como los mantos con control de acceso RFID, deberían ser suficientes para disuadir a la mayoría de los atacantes.