Logo KM Abogados y Astrid Carvajal

Blog

Ingeniería social

Ingeniería Social

La Ingeniería Social tiene un papel fundamental en una gran cantidad de ciberataques, más allá de lo grande, pequeño o sofisticado que sea el crimen. De hecho, como ya observó el investigador senior de ESET David Harley en alguna ocasión anterior, siempre se ha mantenido como “una constante a lo largo de toda la historia de la seguridad de Internet”.
En el contexto del crimen cibernético, es ampliamente descrita como un método no técnico utilizado por los cibercriminales para obtener información, realizar fraudes u obtener acceso ilegítimo a los equipos de las víctimas.


La Ingeniería Social se basa en la interacción humana y está impulsada por personas que usan el engaño con el fin de violar los procedimientos de seguridad que normalmente deberían haber seguido.

La Ingeniería Social se basa en la manipulación psicológica.

Los ataques de Ingeniería Social comunes incluyen correos electrónicos de phishing, vishing (llamadas telefónicas de personas que se hacen pasar por una organización respetada) y baiting (del inglés “carnada”, donde el atacante carga unidades de USB con malware y luego simplemente espera que el usuario las conecte a su máquina).

Es física y digital

La Ingeniería Social es una antigua estafa que se manifiesta en todos los ámbitos de la vida, por lo que sería un error pensar que se trata de algo nuevo o que solo se ve en el mundo online.

De hecho, se ha utilizado en el mundo físico desde hace muchísimo tiempo. Hay numerosos ejemplos de delincuentes que se hicieron pasar por jefes del cuartel de bomberos, técnicos, exterminadores y personal de limpieza, con el único propósito de entrar en el edificio de una empresa determinada y robar secretos corporativos o dinero.

Recién mucho más tarde, en algún momento de la década de 1990, el vishing se hizo popular, seguido por el correo electrónico de phishing.

Su calidad es muy variable

La calidad de las estafas varía ampliamente. Por cada ingeniero social sofisticado que envía correos electrónicos de phishing iguales a los auténticos o que hace llamadas de vishing, habrá muchos otros que hablan mal el idioma, que tienen argumentos sin lógica e información confusa.

Probablemente ya te hayas cruzado con una serie de estos personajes: en los correos electrónicos dudosos de un “banco nigeriano”, o en los que aseguran que ganaste la lotería en otro país: hay muchos ejemplos de intentos lamentables de fraude.

Los países también la usan

En un nivel mucho más elevado, los estados-nación están participando activamente en campañas de Ingeniería Social, o al menos las usan como parte de ataques mucho más sofisticados: las amenazas persistentes avanzadas (APT). Este tipo de espionaje online cumple un rol importante en los esfuerzos cibernéticos de países como los Estados Unidos y China, como lo reveló una publicación de Wired.

Es probable que no te des cuenta del ataque

Lo más preocupante acerca de los ataques de este tipo es que no hay una advertencia inmediata, no hay ninguna señal clara de que te están atacando o de que tu equipo fue infectado. No aparece ninguna ventana emergente pidiendo bitcoins (como con CryptoLocker y otros tipos de ransomware), ni un anuncio de scareware que intenta convencerte para que descargues una aplicación o para que llames a un centro de servicio técnico. La mayor parte del tiempo, los delincuentes llevan a cabo su ataque, roban los datos que buscan y luego desaparecen. Y si se trata de robo de datos, probablemente nunca te enteres de la infección, y mucho menos si tus datos se están vendiendo ilegalmente en la Dark Web.

Se enfoca principalmente en las empresas

La Ingeniería Social afecta a todos, pero los estafadores la utilizan cada vez más para atacar las grandes corporaciones y las PyME: 2014 se describió como el año en que los cibercriminales pasaron al sector empresarial.

Un informe de la industria de principios de 2015 reveló que se está usando la Ingeniería Social para atacar específicamente a los mandos medios y altos ejecutivos. La razón es porque son como una “mina de oro”, explicó en aquel entonces Richard De Vere, consultor de Ingeniería Social y pentester en The AntiSocial Engineer Limited.

Fuente: welivesecurity.com