¿Qué es la ingeniería social? Técnicas de ataque y prevención
La ingeniería social es un concepto a la orden del día, pero ¿qué significa?
En esta publicación abordamos la problemática de la ingeniería social y cómo la verificación de identidad puede solucionarlo.
¿Qué es la ingeniería social?
La ingeniería social es un tipo de ciberdelito, que consiste en manipular a una persona para obtener información personal, dinero, material confidencial, etc.
Los fraudes de ingeniería social surgen de las interacciones humanas en la red y del error humano de aquellos que se fían de la persona al otro lado de la pantalla sin conocerla ni tener referencias sobre ella.
El atacante suele investigar bien a la víctima antes de interactuar con ella, para así conocer posibles puntos débiles y motivaciones. Una vez detectados, el atacante trata de ganar la confianza de la víctima y la sugestiona con estímulos para conseguir su cometido, que suele ser:
- Obtener dinero, regalos, etc.
- Acceder a información para causar daños
- Robar información para acceder a cuentas bancarias
- Suplantar la identidad
Cabe resaltar que los ciberdelincuentes suelen explotar la falta de conocimiento y confianza de sus víctimas, ya que, es común que muchos usuarios no sean conscientes del valor de sus datos personales.
¿Cuáles son los 4 ciclos de ataque de la ingeniería social?
Aunque los ataques de ingeniería social varían de un caso a otro, se ha encontrado un patrón de comportamiento dividido en cuatro partes o ciclos:
- Preparación: en esta primera fase el atacante recopila la máxima información posible de su víctima. Hoy en día no es difícil encontrar datos básicos en internet y en redes sociales.
- Infiltración: tras haberse preparado, el atacante utiliza la información conseguida para ganarse su confianza. Normalmente, se infiltra en la vida de la víctima y se hace pasar por una persona de confianza.
- Explotación: en el tercer ciclo, el atacante trata de persuadir a la víctima para que le dé lo que busca. Habitualmente, la engaña para conseguir las credenciales de su cuenta bancaria, información confidencial, etc.
- Desconexión: una vez conseguidos sus objetivos, el atacante ya no necesita nada más de la víctima y desaparece.
Técnicas de ingeniería social
Hay varias técnicas de ingeniería social que el atacante sigue para lograr su cometido. Una de ellas, es lo que se conoce como el ataque de cebo, donde el atacante utiliza una promesa falsa para despertar la curiosidad de la víctima. Lo atrae a un cebo y le roba su información personal.
Otra técnica que se emplea es la de scareware. En este tipo de ataque, las víctimas reciben amenazas falsas para hacerles creer que su equipo está infectado, a continuación se les ofrece un software gratuito que les solucionará el problema. Ese software es fraudulento y es así como se caza a la víctima.
El phishing es otro ejemplo de ataque de ingeniería social. La víctima a menudo recibe un email del atacante donde se hace pasar por su banco o una empresa de confianza, para que entre y proporcione sus datos de acceso. Cuando lo hace, el ciberatacante obtiene sus credenciales.
¿Cómo prevenir la ingeniería social?
Los errores humanos están a la orden del día y nadie está libre de cometerlos. Cualquier persona que utiliza internet puede ser la siguiente víctima. Por eso, es importante conocer ejemplos y hablar sobre las formas en las que podemos evitar caer en la trampa.
Cubrir bien las espaldas es fundamental. Algunos consejos:
- Utiliza siempre la autenticación de doble factor: siempre que puedas, añade a todas tus cuentas la seguridad en dos pasos, para que nadie más que tú pueda acceder a tus cuentas aunque tenga tu contraseña. Así lo refuerzas.
- Cuidado con emails extraños: si recibes un email de tu banco donde te piden que cambies las claves, desconfía. Es uno de los ataques de phishing habituales. Si tienes dudas, háblalo antes con tu compañía bancaria.
- Cuidado con las ofertas demasiado buenas: es habitual que el atacante proporcione a las víctimas un determinado gancho, dado que es así cómo pueden conseguir sus objetivos mucho más fácil. Cuidado con las ofertas tentadoras, piénsalo dos veces y ante la duda echa un ojo en Google.
- Actualiza tus dispositivos siempre que puedas: también te recomendamos mantener actualizado tu sistema y con actualizaciones automáticas, para protegerte de posibles vulnerabilidades. Esto aplica a tu S.O. de ordenador, a tu WordPress, a tus antivirus o programas antimalware, etc.
Cómo la verificación de identidad puede atacar este problema
Si tenemos en cuenta lo fácil que puede ser explotar una contraseña o engañar a una víctima mediante la suplantación de identidad, es importante que las organizaciones no dejar toda la seguridad en manos de las personas.
Métodos como la autenticación basados en contraseñas o las preguntas de seguridad deberían reducirse, dado que hoy en día las respuestas podrían estar abiertas al público. Por ejemplo, expuestas en una red social.
Las soluciones biométricas pueden ser grandes aliadas a la hora de proteger usuarios, ya que, no dependen tanto de lo que pueda hacer o decir una persona, sino de sus características físicas (muy complejas de falsificar).
Infórmate sobre cómo la verificación de identidad puede ayudar a tu organización con la problemática de la ingeniería social.