No existe un mecanismo de seguridad único que pueda protegerse de las técnicas de
ingeniería social utilizadas por los atacantes. Solo educando a los empleados sobre
cómo reconocer y responder a los ataques de ingeniería social se pueden
minimizar las posibilidades de éxito de los atacantes.
¿Qué es la Ingeniería Social?
La ingeniería social es el arte de persuadir a las personas para que revelen información confidencial. Los objetivos comunes de la ingeniería social incluyen al personal de servicio de asistencia, ejecutivos de soporte técnico, administradores de sistemas, etc. Los ingenieros sociales dependen del hecho de que las personas no son conscientes de la información valiosa a la que tienen acceso y son descuidadas al protegerla.
Impacto de un Ataque en una Organización
Pérdidas económicas
Daño a la reputación
Perdida de privacidad
Peligros del terrorismo
Demandas y arbitrajes legales
Cierre temporal o permanente
Comportamientos Vulnerables a Ataques
Autoridad
Intimidación
Consenso
Escasez
Confianza
Urgencia
Familiaridad
Avaricia
Factores que hacen a las Empresas Vulnerables
a Ataques
-
Capacitación insuficiente
en seguridad -
Acceso no regulado a
la información -
Diversas unidades
organizativas -
Falta de políticas
de seguridad
¿Por qué la Ingeniería Social es Efectiva?
-
Las políticas de seguridad son tan
fuertes como su eslabón más débil,
y el comportamiento humano es
el factor más susceptible. -
Es difícil detectar intentos de
ingeniería social. -
No hay un método que pueda aplicarse
para garantizar una seguridad completa contra ataques de ingeniería social. -
No hay un método que pueda aplicarse
para garantizar una seguridad completa contra ataques de ingeniería social.
Fases de un Ataque de
Ing. Social
- Investigación de la Empresa Objetivo: Se recopila información vital sobre la empresa mediante la exploración de basureros, análisis de sitios web y conversaciones con empleados para comprender su estructura y posibles vulnerabilidades.
- Selección de un Objetivo: Se identifican empleados susceptibles a la manipulación, como aquellos descontentos o con problemas personales, evaluando su idoneidad como blancos potenciales.
- Desarrollo de una Relación: El actor de amenaza establece vínculos con los empleados seleccionados, utilizando tácticas de persuasión y empatía para ganar su confianza y explorar intereses comunes.
- Explotación de la Relación: Aprovechando la relación establecida, se busca obtener información confidencial o acceso a sistemas críticos, mediante la persuasión para revelar datos sensibles o realizar acciones perjudiciales.
Ingeniería Social basada en Humanos
La información confidencial se recopila mediante la interacción.
Fingir ser alguien más para obtener acceso a información confidencial o sistemas protegidos.
Revisar la basura de una persona o empresa en busca de información útil, como documentos financieros o correos electrónicos impresos.
Distraer a una persona para robar su información o posesiones mientras están distraídos.
Engañar a las personas por teléfono para que revelen información confidencial o realicen acciones no autorizadas.
Engañar a las personas por teléfono para que revelen información confidencial o realicen acciones no autorizadas.
Escuchar conversaciones privadas para obtener información sensible o secreta.
Convencer a alguien para que revele información al hacerse pasar por alguien que necesita ayuda o asistencia.
Entrar a un lugar protegido aprovechando la entrada de alguien autorizado.
Ofrecer algo a cambio de información sensible o acceso a sistemas.
Observar por encima del hombro de alguien para obtener información confidencial, como contraseñas.
Entrar a sistemas o lugares sin permiso, utilizando diversas tácticas de engaño o manipulación.
Recopilar información a través de métodos convencionales, como encuestas, entrevistas o investigación pública.
Ingeniería Social basada en Computadoras
Se recopila información confidencial con la ayuda de computadoras.
Software malicioso que pretende asustar a los usuarios haciéndoles creer que su computadora está infectada, con el objetivo de venderles software falso de seguridad o robar información personal.
Intento de engañar a las personas para que revelen información confidencial, como contraseñas o detalles de tarjetas de crédito, haciéndose pasar por una entidad legítima a través de correos electrónicos, mensajes de texto u otros medios.
Envío masivo de mensajes no solicitados, generalmente con fines publicitarios, pero a menudo también para distribuir malware o llevar a cabo estafas.
Aparición repentina de ventanas emergentes en navegadores web, que pueden contener anuncios fraudulentos, enlaces a sitios maliciosos o solicitudes de descarga de software no deseado.
Utilización de mensajería instantánea para realizar ataques de ingeniería social, como engañar a los usuarios para que revelen información confidencial o hagan clic en enlaces maliciosos.
Ingeniería Social basada en Dispositivos Móviles
Se recopila información confidencial con la ayuda de aplicaciones móviles.
Subir aplicaciones a tiendas de aplicaciones con intenciones maliciosas, como robar información personal o controlar el dispositivo del usuario sin su consentimiento.
Modificar aplicaciones legítimas añadiendo código malicioso antes de redistribuirlas, lo que puede permitir a los atacantes obtener acceso no autorizado a los dispositivos de los usuarios.
Promocionar aplicaciones que pretenden mejorar la seguridad del dispositivo, pero en realidad contienen malware diseñado para robar datos o controlar el dispositivo del usuario.
Enviar mensajes de texto falsos o engañosos a los usuarios, con el objetivo de hacerles revelar información personal o realizar acciones no deseadas, como descargar aplicaciones maliciosas o proporcionar datos de inicio de sesión.
Contramedidas de Ingeniería Social
- Capacitar a individuos en políticas de seguridad.
- Implementar privilegios de acceso adecuados.
- Garantizar un tiempo de respuesta adecuado ante incidentes.
- Disponibilidad de recursos solo para usuarios autorizados.
- Examinar la información detenidamente.
- Realizar verificaciones de antecedentes y procesos de terminación adecuados.
- Defensas antivirus/anti-phishing.
- Implementar autenticación de dos factores.
- Adoptar un sistema documentado de gestión de cambios.
- Asegurarse de que el software se actualice regularmente.
