Ingeniería social
¿Qué es la ingeniería social?
La ingeniería social es el acto de explotar las debilidades humanas para obtener acceso a información personal y sistemas protegidos. La ingeniería social se basa en manipular a las personas en lugar de piratear los sistemas informáticos para penetrar en la cuenta de un objetivo.
Entendiendo la Ingeniería Social
Por ejemplo, una mujer podría llamar al banco de una víctima masculina y hacerse pasar por su esposa reclamando una emergencia y solicitando acceso a su cuenta. Si la mujer puede diseñar socialmente al representante de servicio al cliente del banco apelando a la tendencia empática del representante, puede tener éxito en obtener acceso a la cuenta del hombre y poder robar su dinero. De manera similar, un atacante puede comunicarse con el departamento de servicio al cliente de un proveedor de correo electrónico para obtener un restablecimiento de contraseña que le permita al atacante controlar la cuenta de correo electrónico de un objetivo en lugar de piratear esa cuenta.
La ingeniería social se refiere a la manipulación de un objetivo para que entregue información clave. Además de robar la identidad de una persona o poner en peligro una tarjeta de crédito o una cuenta bancaria, la ingeniería social se puede aplicar para obtener secretos comerciales de una empresa o explotar la seguridad nacional.
La ingeniería social es difícil de prevenir para los posibles objetivos. Se utilizan precauciones como el uso de contraseñas seguras y la autenticación de dos factores para las cuentas, pero las cuentas aún pueden verse comprometidas por terceros con acceso a sus cuentas, como los empleados bancarios. Sin embargo, las personas pueden reducir su riesgo evitando dar información confidencial, siendo cautelosos al compartir información en las redes sociales, no repitiendo contraseñas, utilizando autenticación de dos factores, utilizando respuestas falsas o difíciles de adivinar a las preguntas de seguridad de la cuenta y manteniendo un vigilar de cerca las cuentas, en particular las financieras.
Los atacantes suelen utilizar tácticas sorprendentemente simples en los esquemas de ingeniería social, como pedir ayuda a las personas. Otra táctica es explotar a las víctimas del desastre pidiéndoles que proporcionen información de identificación personal, como robo de identidad.
Haciéndose pasar por un profesional de soporte técnico o un repartidor son formas fáciles de obtener acceso no autorizado a una cuenta, al igual que enviar un correo electrónico aparentemente legítimo con un archivo adjunto malicioso. Estos correos electrónicos a menudo se envían a una dirección de correo electrónico del trabajo donde es menos probable que las personas sospechen de un remitente desconocido.
Los correos electrónicos se pueden disfrazar para que parezcan que se han originado en un remitente conocido cuando en realidad son enviados por un pirata informático. Las tácticas más elaboradas que están dirigidas a personas específicas pueden implicar aprender sobre sus intereses y luego enviar al objetivo un enlace relacionado con ese interés. El enlace puede contener código malicioso que puede robar información personal de sus equipos. Las técnicas populares de ingeniería social incluyen phishing, pesca de gatos, chupar rueda y cebo.