Referencias Tecnológicas

¿Qué es la ingeniería social?

tarjetas de crédito y condado sobre un teclado de computadora mostrando qué es la ingeniería social

Es posible que no todos estemos familiarizados con este término; sin embargo, podemos asegurar que la mayoría de las personas hemos tenido contacto con algún ataque de este tipo. Empecemos  respondiendo  la siguiente pregunta: ¿cuántos correos tiene en su bandeja de spam?

Para 2014, el 90 por ciento de los correos electrónicos enviados eran spam o contenían archivos maliciosos (virus), como las solicitudes de actualización de datos bancarios, los mensajes informando que hemos ganado algún premio y necesitamos enviar nuestra información de contacto para recibirlo, el famosísimo correo que nos informa que somos los herederos de una fortuna de cien mil millones de dólares, en fin… Podríamos dar muchísimos ejemplos más, y seguramente alguno de estos le es familiar. A pesar de que estamos hablando de una cifra de 2014, los correos mal intencionados siguen transitando. Si bien algunos mensajes son más fáciles de identificar, existen otros más elaborados, tal es el caso de los correos provenientes de cuentas bancarias falsas.

Otro caso común son esas llamadas telefónicas en donde nos dicen que algún familiar está corriendo peligro. ¿Cuál es su primera reacción al escuchar que su hija está secuestrada?

Estamos hablando de ingeniería social, y estos son solo algunos de los casos más presentes en el día a día, pero existen muchos más.

Significado de ingeniería social

Por definición, la ingeniería social se refiere a cualquier acto que incite a una persona a realizar una actividad con o sin interés propio. Personas del otro lado del teléfono o de la computadora esperando que alguien caiga en la trampa y dé su información bancaria, haga un depósito, o instale un programa de captura de datos.

Para 2014, el 90 por ciento de los correos electrónicos enviados eran spam o contenían archivos maliciosos…

Tipos de ataques

Existen diferentes tipos de ingeniería social, así que veamos los ataques más comunes:

1. Phishing

El agresor lanza un ataque que funciona como carnada, solicitando información sensible o enviando anexos con material contaminado que se instalan en el sistema del usuario, para posteriormente poder capturar información confidencial (contraseñas, números de tarjetas de crédito, números de seguridad, etc.). En ambientes empresariales, esto puede presentarse por medio de correos que parecen provenientes del personal interno, como los del departamento de TI, ventas o directamente del CEO.

Estos ataques se apoyan en recursos como miedo, urgencia y autoridad. La victima puede o no brindar la información solicitada dependiendo de cómo se sienta en el momento del ataque.

Ejemplos:

  • Correos solicitando la actualización de datos bancarios, los cuales amenazan con bloquear la cuenta al no hacerlo (seamos honestos ¿quién quiere ir al banco en estos días?).
  • Descuentos extravagantes en productos con cantidades limitadas.
  • Solicitud de datos de acceso a sistemas de la empresa provenientes de un alto mando.

2. Spear phishing

Es un phishing más complejo, pues es un ataque que se dirige a una compañía y que elige a una víctima a la que se investiga detalladamente, recopilando información personal basada en su historial de internet y en redes sociales. Una vez trazado el perfil, se le envía información de interés propio persuadiéndolo a que abra links con contenido malicioso con el objetivo de instalar programas que permitan acceso al equipo de cómputo y, por consiguiente, a la red completa de la empresa, accediendo a información confidencial.

3. Quid Pro Quo (una cosa por otra)

En este tipo de estafa se tienta a los usuarios con ganar algo, como premios o descuentos en productos costosos; pero para tener acceso a estas ventajas, es necesario entregar una gran cantidad de información personal. Todos los datos recopilados se usan para el robo de identidad, los cuales pueden ser utilizados en otros ataques.

También lee: 5 Malas prácticas que impactan en la ciberseguridad

¿Cómo afecta a mi empresa y cómo puedo protegerla?

Como podemos ver, cuando hablamos de ingeniería social, todos estamos expuestos. Cuando pensamos en la seguridad de nuestra empresa, confiamos en que, utilizando el mejor antivirus, usando contraseñas elaboradas y ayudándonos de la criptografía, estamos seguros y nuestra red es cien por ciento confiable; sin embargo, nos olvidamos de la parte más vulnerable: el ser humano.

Veamos el siguiente escenario:

Su empresa acaba de realizar una compra de materia prima necesaria para entregar un producto a su cliente más importante. El responsable del departamento de ventas está esperando la confirmación de dicha compra y recibe una llamada proveniente de la tienda para “confirmar” los datos de la tarjeta utilizada, respondiendo a preguntas para complementar el número de tarjeta, nombre del propietario, validez, etc. Hasta este momento, todo parece que está bien, pero ¿si después le solicitan el código de seguridad?

Agreguemos más detalles a nuestra historia: la compra está retrasada, el cliente está empezando a mostrarse inquieto y el jefe de nuestro colega pidió que el asunto se resolviera antes de la hora de la comida.

La persona del otro lado del teléfono insiste en que, si no se confirman los datos, la compra será cancelada. Tomando en cuenta la situación, nuestro colega revela el código de seguridad y la tarjeta es clonada, lo que nos lleva a cargos ilícitos, bloqueo, y obviamente, el retraso de la compra.

Ese es un escenario típico utilizando ingeniería social; la persona que entró en contacto vía telefónica pudo haber monitoreado las actividades de la empresa hasta encontrar esta oportunidad para realizar el ataque.

El caso anterior es ficticio, pero no se aleja de la realidad.

¿Cómo mantener segura a mi empresa?

Para evitar caer en problemas como el descrito anteriormente tomemos en cuenta los siguientes consejos.

  • Informe y eduque a sus colaboradores acerca de la existencia de estos peligros.
  • Mantenga una buena comunicación interna.
  • Repase la importancia de proteger información confidencial como códigos de seguridad o contraseñas.
  • Antes de responder a cualquier solicitud de información (aun viniendo de un colaborador interno), revise la veracidad y origen de esta.

Podemos concluir que estos agresores suelen abusar de la ingenuidad de las personas y de momentos vulnerables, por lo que estar informados nos mantiene preparados para actuar correctamente al enfrentarnos a estas situaciones, ya que todos estamos propensos a ser víctima de estos ataques.

Como empresa, sabemos que la información es extremadamente valiosa, y al recibirla de nuestros clientes tenemos la obligación de protegerla.

Como profesionales de TI, nos preocupamos por el bienestar y la seguridad de nuestros clientes, por eso mantenemos nuestros servicios de seguridad actualizados para evitar cualquier ataque, pero también nos preocupamos por informar a nuestros colaboradores.

Mantenernos informados y actualizados nos ayuda a ser más precavidos, pues estando conscientes del peligro podemos observar cada detalle de lo que recibimos e identificar los ataques mal intencionados.

Remember, technology won’t keep you safe.

Para los curiosos: ¿alguna vez se ha preguntado qué pasaría si respondiéramos un correo de spam? Nuestro amigo James Veitch no se quedó con las ganas y en el siguiente vídeo de Ted Talks nos cuenta qué sucedió.

Haz clic para ver el video aquí.

Por último, si temes por la seguridad para tu empresa, en icorp podemos ayudarte a diseñar una estrategia de seguridad integral con nuestras soluciones, contáctanos.

Fuentes: Social-Engineer.org, Norton, NDC Conferences

Sandra Zendejas

Alma viajera con experiencia en tecnología, apasionada por entregar los resultados más sobresalientes en cualquier actividad en la que busque destacar. Pensadora y escritora en tiempos libres.