Ingeniería Social

                           

La Ingeniería Social  se define al conjunto de técnicas psicológicas y habilidades sociales utilizadas de forma consciente y muchas veces premeditada para la obtención de información de terceros.

La ingeniería social consiste en la manipulación de las personas para que voluntariamente realicen actos que normalmente no harían. 

leer mas ....

Es una disciplina que consiste, ni más ni menos en sacar información a otra persona sin que esta se dé cuenta de que te está revelando "información sensible".

Con este curioso término se engloba una serie de tretas, artimañas y engaños elaborados cuyo fin es confundir al usuario o, peor todavía, lograr que comprometa seriamente la seguridad de sus sistemas.

Aprovecha sentimientos tan variados como curiosidad, la avaricia, el sexo, la compasión o el miedo, de esta forma se consigue el objetivo, una acción por parte del usuario. 

                                                      OBJETIVOS

Los objetivos básicos de la Ingeniería Social son los mismos del “hacking” o “cracking” (dependiendo de quien lo haga) en general: ganar acceso no autorizado a los sistemas, redes o a la información para...

Ø  Cometer Fraude.

                    Ø  Entrometerse en las Redes.

      Ø  Espionaje Industrial.

                              Ø  Irrumpir en los Sistemas o Redes

                    Ø  .Robo de Identidad (de moda).

¿A QUIEN VA DIRIGIDOS?

Las víctimas típicas incluyen:

           Ø  Empresas Telefónicas

                        Ø  Servicios de Helpdesk y CRM

                        Ø  Corporaciones Renombradas

                                                                   Ø  Agencias e Instituciones Gubernamentales y Militares

                 Ø  Instituciones Financieras

Ø  Hospitales.

El boom del internet tuvo su parte de culpa en la proliferación de ataques a pequeños “start-up´s”, pero en general, los ataques se centran en grandes compañías.

¿QUIENES LA USAN?

                    Hackers       

 Espías    

  Ladrones o Timadores    

                                                 

                      Detectives Privados

¿Cuáles son las técnicas de la Ingeniería Social y como nos afecta?

Técnicas de Ingeniería Social

Tres tipos, según el nivel de interacción del ingeniero social:

      Técnicas Pasivas:

    Observación

      Técnicas no presenciales:

           Recuperar la contraseña

           Ingeniería Social y Mail

           IRC u otros chats

           Teléfono

           Carta y fax

      Técnicas presenciales no agresivas:

          Buscando en La basura

          Mirando por encima del hombro

         Seguimiento de personas y vehículos

         Vigilancia de Edificios

         Inducción

         Entrada en Hospitales

         Acreditaciones

         Ingeniería social en situaciones de crisis

         Ingeniería social en aviones y trenes de alta velocidad

        Agendas y teléfonos móviles

        Desinformación

        Métodos agresivos

     Suplantación de personalidad

     Chantaje o extorsión

     Despersonalización

     Presión psicológica

¿Cómo  protegernos de la Ingeniería social?

La mejor manera de protegernos contra las técnicas de ingeniería social es utilizando el sentido común y no divulgando información que podría poner en peligro la seguridad de la compañía. Sin importar el tipo de información solicitada, se aconseja que:

·         averigüe la identidad de la otra persona al solicitar información precisa (apellido, nombre, compañía, número telefónico);

·         si es posible, verifique la información proporcionada;

·         pregúntese qué importancia tiene la información requerida..

¿Cómo afecta la Ingeniería Social a las empresas?

 Hoy en día, cuando cada vez más micro-empresas se integran al mundo virtual, y cada vez más personas están conectadas constantemente por distintos canales (y no  como antes que sólo existía el correo electrónico) es cada vez más fácil engañar al público.

Lo que ocurre cuando una empresa sufre un ataque de ingeniería social es que alguien en dicho negocio abre un archivo adjunto o da click en algún sitio dañino, y con eso los atacantes consiguen datos de las personas y las empresas o, simplemente, vulneren sus sistemas de seguridad informática. “Mientras que hackear un sistema requiere conocimiento de vulnerabilidades de programación hackear la mente humana exige un tipo de conocimiento diferente – específicamente qué tipos de emails o links son más probables que abra la víctima”,

Una forma de lograrlo es dirigirse a las personas con mensajes relativos a su trabajo o sus intereses personales, y para investigar esta información los hackers han encontrado una mina de oro en las redes sociales.

Si bien los desarrolladores se han esforzado por aumentar las medidas de seguridad para hacer que cada vez sea más difícil vulnerarlas, lo cierto es que las personas siguen aceptando como amigos a gente que no conocen, lo cual significa un riesgo importante pues entonces los atacantes no requieren trabajar para romper dichas medidas: “Las investigaciones han demostrado que el perfil falso promedio en Facebook tiene alrededor de 726 ‘amigos’,  más de cinco veces lo que tiene un usuario típico del sitio.”

Ejemplo de la ingeniería social

Ahora bien, pensemos cómo un ciber-delincuente logra (o intenta lograr) que su campaña de propagación de amenazas tenga éxito.

Uno de los factores más aprovechados son las temáticas populares de actualidad.

En el Laboratorio de Investigación de ESET Latinoamérica, se ha podido detectar e investigar campañas que utilizaron noticias, personas y sucesos de relevancia como gancho para captar víctimas

      Alerta de terremoto en Ecuador: un email prometía imágenes satelitales que sólo descargaban malware.

      ¡Michael Jackson está vivo!: el falso archivo sólo descargaba un troyano diseñado para convertir la computadora en un zombi que formará parte de una botnet

      Romance entre Shakira y Alexis Sánchez: el falso video descargaba un troyano que modificaba los archivos hosts de la computadora afectada para hacer redirecciones.

Un ejemplo más:  Recibes un mensaje de e-mail , diciendo que tu computadora está infectada por un virus. El mensaje sugiere que instales una herramienta disponible en un sitio web de Internet para eliminar el virus de tu computadora. La función real de esta herramienta no es eliminar un virus, sino permitir que alguien tenga acceso a tu computadora y a todos los datos almacenados. 

Por eso es importante que estés atento ante sucesos de esta masividad, y que tengas en cuenta que es muy probable que los cibercriminales los utilicen para tratar de engañar a los usuarios.

Lo más importante de todo esto, es que no debemos ser paranoicos a la hora de usar un equipo informático. Existen peligros reales y por eso los compartimos con ustedes, para que tomen los recaudos necesarios y así puedan navegar tranquilos, haciendo un uso consciente y responsable de la tecnología.

Recuerden las premisas de seguridad que aplican en la vida cotidiana, como por ejemplo: si no hablas con desconocidos en la calle, ¿por qué lo harías en Internet? Tengamos en cuenta que a pesar de los peligros que existen en las calles, seguimos saliendo, porque confiamos en que estamos tomando los recaudos necesarios para que no nos pase nada. Bien, en Internet sucede lo mismo:

No todo el mundo es quien dice ser, y nunca sabemos cuáles son sus intenciones reales, pero es posible tener una experiencia segura, si se siguen buenas prácticas como las siguientes:

• En primer lugar, usar soluciones de seguridad como antivirus, que prevendrán infecciones mediantes exploits o códigos maliciosos, entre otros.
• No aceptar en redes sociales a gente desconocida. La variedad que ofrece la tecnología permite, por ejemplo, preguntarle a un contacto mediante Whatsapp si nos agregó realmente para saber si es quien dice ser.
• Ser cuidadosos con los correos electrónicos recibidos de remitentes desconocidos: pueden robar información y estar infectado con archivos maliciosos adjuntos.
• Descargar aplicaciones de su fuente original. Esto evitará las infecciones en el equipo.
• En conexiones libres como en bares, cafés y lugares públicos, es bueno tener en cuenta no usar servicios que requieran información sensible como usuario y contraseña. Algo que podría ayudarte si necesitaras estos servicios, es el uso de VPN, que enviará todas las comunicaciones cifradas.
• La siempre mencionada política de crear contraseñas robustas y fuertes, va a prevenir ataques. Puede resultar un poco tedioso tener diferentes contraseñas para los servicios utilizados, pero se pueden usar aplicaciones gestoras de usuarios y contraseñas; información que es almacenada en un archivo cifrado.
• En sitios web que requieran información de usuario y contraseña, chequear que utilizan https en lugar de http.

Con estas prácticas, podrán usar Internet sin tantas preocupaciones; la responsabilidad y el sentido común, junto con las buenas prácticas a la hora de navegar, harán que las campañas de Ingeniería Social no tengan el éxito que los cibercriminales esperan.