fbpx
+51 991 664 782 info@trend.pe
Qué es la Ingeniería Social y por qué merece toda nuestra atención

Qué es la Ingeniería Social y por qué merece toda nuestra atención

Los ataques y estafas a través de la web requieren de conocimiento informático. Eso está más que claro. Sin embargo, existe un arma más letal de la que se valen los ciberdelincuentes para cumplir sus cometidos; una herramienta infalible que hace que sus estrategias sean exitosas y que sus víctimas sigan en aumento: la Ingeniería Social.

Un estudio de The Digital Guardian, compañía experta en custodia de datos, reveló que el 97% de los ataques informáticos no explotan fallas de software, sino que recurren a estrategias de Ingeniería Social para obtener la información necesaria e ingresar así a sistemas complejos con el fin de cometer sus fechorías.

Cada año, en América Latina y el Caribe los ciberataques provocan pérdidas que alcanzan los US$ 90 mil millones. El Perú es el séptimo país más afectado y según la División de Investigación de Alta Tecnología (Divindat) de la Policía Nacional del Perú, cada mes se denuncian al menos 120 delitos informáticos; de ellos, el 50% de ellos corresponden a fraudes y el 10% a suplantaciones de identidad.

¿Qué es exactamente la Ingeniería Social?

Para comprender mejor su poder, primero hay que entender bien de qué se trata. Cuando hablamos de Ingeniería Social nos referimos al arte de convencer o manipular a una persona a través de habilidades y técnicas psicológicas con el fin de que cumpla un objetivo determinado.

Los ciberdelincuentes explotan sus estrategias cuando intentan engañar a la gente para obtener información valiosa como contraseñas, datos bancarios o cuando ejercen algún tipo de manipulación con el fin de tener acceso a equipos para instalar programas maliciosos.

En realidad, la presencia de la Ingeniería Social no es algo nuevo entre nosotros, siempre ha sido una de las herramientas preferidas por los ciberdelicuentes para cometer sus delitos. Y es que resulta más sencillo manejar a las personas que a las máquinas, y cuanto más se sabe acerca de un individuo u organización, más fácil será atacar su seguridad.

Mientras se hace una compra online, se interactúa en redes sociales o incluso cuando se abre un correo, estos inescrupulosos hacen uso de sus tácticas para suplantar identidades y manipular a sus víctimas.

¿Cuáles son las técnicas más conocidas de Ingeniería Social?

Más allá de la plataforma, del hardware o software que se utilicen, las técnicas más conocidas de Ingeniería Social son:

Phishing: cuando se crean y utilizan sitios web y correos electrónicos con el fin de suplantar a instituciones legítimas para que los usuarios revelen información personal que los ayude a cometer sus ataques. Un ejemplo usual de esta modalidad son los correos electrónicos que simulan ser enviados por bancos y piden al usuario ingresar el número de tarjeta y contraseña para recuperar o validar un servicio. ¡Nunca lo hagas!

Spear Phishing: los ciberdelincuentes pasan bastante tiempo investigando a sus víctimas para elaborar información específica. Por ejemplo, preparando un archivo malicioso con un detalle que haga referencia a un tema de su interés. Suelen estar dirigidos a grandes organizaciones.

Clone Phishing: cuando el atacante crea un mensaje idéntico al de la firma que está suplantando y envía un correo electrónico desde una dirección -a la vez- muy similar al del remitente legítimo. El cuerpo del mensaje también es muy parecido al original, pero el detalle malicioso se encuentra en el archivo adjunto o en el enlace que incluye el correo.

Vishing: conocida como el ‘Phishing de Voz’, son llamadas telefónicas de personas que se hacen pasar por una entidad conocida y respetada para conseguir información confidencial de sus víctimas. Por ejemplo, pueden solicitarles que llamen a un número y que ingresen la información de su cuenta o PIN por razones de seguridad u otros fines -supuestamente- oficiales.

Bating: es una técnica que utiliza medios físicos y se basa en la curiosidad de la víctima. El atacante puede distribuir memorias flash infectadas con malware o dispositivos similares con la esperanza de que el hardware se inserte en ordenadores conectados para diseminar el código malicioso. Como consecuencia, sin saberlo, el usuario termina instalando un malware que podría darle a un hacker acceso sin restricciones a una computadora y tal vez a la red interna de la empresa.

Whalling: conocida también como ‘Cazaballenas’, suele enfocarse en directivos o altos funcionarios de corporaciones. Este tipo de ataques requiere de una minuciosa y exhaustiva investigación, pues hace falta saber con quiénes interactúa la víctima y el tipo de conversaciones que tiene. Suele iniciarse con Ingeniería social para reunir información antes de recurrir a un mensaje de phishing y concluir el ataque con éxito.

Smishing: cuando los cibercriminales suplantan la identidad de una compañía a través de mensajes de texto con los que intentan redirigir al usuario a un sitio web fraudulento para obtener su información personal, robar sus datos bancarios o infectar su dispositivo con algún virus.

Hunting: son aquellos que buscan obtener información de sus víctimas con la menor exposición posible. Su orientación suele ser muy concreta: puede ser para obtener una clave o desactivar una configuración.

Farming: cuando los ciberdelincuentes realizan numerosas interacciones con sus potenciales víctimas con el afán lograr su objetivo o en todo caso de reunir la mayor  cantidad de información para hacerlo. Por ejemplo, cuando buscan sembrar pánico entre sus víctimas con presuntos videos privados o futuros ataques contra su empresa.

Juego de roles: cuando se divulga información confidencial a través de chats en línea, correos electrónicos o llamadas telefónicas. Para lograrlo, los ciberdelincuentes se hacen pasar por un servicio de ayuda o un empleado de la compañía con el fin de convencer al público y no levantar sospecha.

Dumpster Diving: cuando el atacante obtiene data sobre la organización de la empresa y su estructura orgánica en los contenedores de basura. Esta información puede contener detalles valiosos como organigramas, calendarios de reuniones, nombres de usuario, contraseñas o hardware desactualizado de forma descuidada o que no suele estar identificado.

Shoulder Surfing: cuando el atacante se vale de técnicas de observación para obtener información. Puede ser a una distancia corta o con largo alcance, utilizando alguna herramienta que le ayude a tener una visión privilegiada. Ten mucho cuidado porque este puede sustraer información confidencial incluso cuando escribes tu contraseña en un dispositivo.

Ingeniería social Inversa: cuando el atacante convence a su objetivo de que está involucrado en un problema, y este lo ayuda a resolverlo. Se divide en tres partes:

  1. Sabotaje: después que obtiene acceso al sistema o le da la apariencia de estar invadido y el usuario comienza a buscar ayuda para resolver el problema.
  2. Marketing: cuando el atacante se hace pasar como la única solución al problema y se asegura que su víctima lo vea.
  3. Soporte: una vez que el atacante se gana la confianza de su objetivo y obtiene la información confidencial que buscaba.

¿Cómo pueden protegerse las pequeñas y medianas empresas de estos riegos?

Jesús Napurí, experto en ciberseguridad, considera que la educación y la cultura de seguridad son los riesgos más críticos con los que deben lidiar siempre las organizaciones, tanto aquellas corporaciones con grandes inversiones en tecnologías y herramientas de seguridad, como las pequeñas y medianas empresas, con presupuestos y controles de seguridad más austeros.

“Es necesario desarrollar un programa de Awareness, para que sus miembros tomen conciencia de lo importante que es la Seguridad de Información. El objetivo es que los usuarios se preocupen y respondan ante alguna situación de riesgo que afecte la seguridad y continuidad del negocio”, explica.

Napurí indica que para lograr esta concientización es necesario que el programa se gestione como un cambio en la cultura organizacional, apoyado por la alta dirección. “La estrategia debe ser constante para que madure en el tiempo y el negocio establezca una operación segura y confiable”, advierte.

Otras formas de hacerle frente a la Ingeniería Social

Algunas empresas han visto conveniente anular los puertos USB, entradas de CD u otros dispositivos de sus ordenadores. Pero -para ser realistas- esta medida es apenas un paliativo momentáneo.

Además de concientizar a sus colaboradores, es recomendable que las empresas cuenten con un firewall que controle debidamente el acceso de los ordenadores a la red. Estos deben tener un antivirus actualizado, al igual que un antispam inteligente y muy dinámico.

Una buena idea es fijar un manual de estrategias en el que se explique a los trabajadores por qué es importante no abrir correos desconocidos, confirmar las identidades de las personas con las que interactúan e incluso comprobar vía telefónica si sospechan que alguien está suplantando la identidad de alguno de los colaboradores.

¿Qué hacer para aumentar la seguridad en whatsapp?

¿Qué hacer para aumentar la seguridad en whatsapp?

Whastapp, empresa de propiedad de Facebook indicó que el ataque que recibió hace unas semanas atrás fue fruto de piratas cibernéticos y que tenía como objetivo un grupo selecto de sus seguidores. A los días la red de mensajería lanzó un nuevo parche de seguridad para corregir el problema y le pidió a sus 1500 millones de usuarios que actualicen la aplicación como precaución. 

El diario británico Financial Times reportó que el software empleado en el ataque fue desarrollado por la empresa israelí de seguridad Grupo NSO, pero esta empresa ha negado estar detrás del ataque. Mientras que el diario estadounidense The New York Times señaló que una de las víctimas de este ataque es un abogado radicado en Londres involucrado en una demanda contra el Grupo NSO.

¿Cómo se vulneró la seguridad de whatsapp?

Whatsapp siempre se promociona como una aplicación de comunicaciones segura porque ofrece cifrado de extremo a extremo, lo que significa que solo debe mostrarse de forma legible en el dispositivo del que envía el mensaje y del que recibe. Sin embargo, el software de vigilancia (el del ataque) habría permitido leer los mensajes en el dispositivo del objetivo. 

Los hackers usaron la función de llamada de voz de WhatsApp para llamar a los sujetos objetivos del ataque. Aunque el receptor no descolgara, el software se instalaba, y la llamada solía desaparecer del historial del teléfono. “Lo más probable es que el blanco hayan sido periodistas, abogados, activistas y defensores de los derechos humanos”, dijo Ahmed Zidan, Digital Manager.

¿Cómo podemos aumentar la seguridad en nuestro whatsapp?

Aquí te damos algunos consejos para hacer de tu whatsapp una aplicación segura:

  1. Mantenerse al día con todas las actualizaciones de la aplicación.
  2. No realizar copias de seguridad de sus chats en un servicio como Google Drive o iCloud porque se crea una vulnerabilidad ya que esa copia no está protegida por el cifrado de extremo a extremo, por lo que cualquier persona que tenga acceso a tu nube podría obtener el historial de conversaciones en la aplicación.
  3. En Whatsapp también encontramos la verificación de dos pasos (2FA) que es otra buena manera de ayudar a mantener nuestros datos seguros. Se trata de una capa adicional de seguridad para garantizar que las personas que intentan obtener acceso a una cuenta en internet son realmente quienes dicen ser. Se empieza con el acceso normal: nombre de usuario y contraseña. Pero, en lugar de obtener acceso de inmediato, se pide una segunda forma de verificación, que puede ser por ejemplo una huella digital, un comando de voz o un código que es enviado por texto.
  4. Quitar la última hora de conexión, que era un dato que creaba tantos problemas de espionajes y para desactivar esta función, es necesario dirigirse a Configuración>Cuenta>Privacidad. Una vez ahí, en «Última vez», se puede escoger entre que «Todos», «Mis contactos» o «Nadie» pueda ver la última hora en la que nos conectamos. Sin embargo, si pulsamos sobre «Nadie», nosotros tampoco podremos ver la última conexión de los demás (aunque tengan activadas las otras dos opciones).
  5. Quita el tic azul que confirma que hemos leído el mensaje. Para ello, hay que dirigirse a la ruta Configuración>Cuenta>Privacidad. En esa misma pantalla se nos ofrece la posibilidad de desactivar la «Confirmación de lectura». En este caso también ocurrirá como en el anterior: no verán cuándo lees el mensaje pero tampoco podrás comprobar cuando tus contactos han revisado tus mensajes.

No darle click a cualquier enlace

De nada sirven las medidas anteriores si hacemos clic ante cualquier enlace que nos manden. La mayoría de programas malicioso (malware) se inician mediante el envío de mensajes y enlaces a través de grupos o incluso de un contacto conocido que lo recomienda, porque no se ha enterado de lo que va el enlace o porque es un contacto ya infectado.

Hay ataques también de phishing (suplantación de identidad), estafas que nos envían a través de mensajes que nos instalan aplicaciones de terceros con el objetivo de lograr un beneficio económico. No estaría mal comenzar por limpiar grupos y contactos para limitar las vías de ataque y mantener una especial precaución con imágenes y vídeos.

Si te gustó nuestro blog, posts y noticias sobre relaciones públicas, reputación, social media, comunicación y sociedad digital, puedes unirte a la comunidad de Trend en Facebook, Twitter, Linkedin, Instagram, Soundcloud y YouTube. Y para mantenerte al tanto de nuestras últimas noticias, suscríbete a nuestro boletín digital aquí

El post ¿Qué hacer para aumentar la seguridad en whatsapp? aparece primero en el blog de Trend | Agencia de PR & Reputación.

¿Necesitas orientación o ayuda para tu marca en alguno de los temas que tratamos en este post? Comunícate con nosotros y te responderemos cuanto antes.

 

Converse con Nosotros