Ingeniería social

Definición ingeniería social

La ingeniería social se basa en el arte de engañar a las personas para que nos den información que necesitamos sobre un sistema para acceder a este. Esta técnica es muy común desde hace ya mucho tiempo, un hacker muy famoso Kevin David Mitnick basaba sus “ataques” en esta técnica para poder tomar el control sobre sistemas, aprovechándose de la ingenuidad de otras personas.

Medios para usar la ingeniería social

Existen algunos métodos que usan los atacantes para implementar la ingeniería social, como es vía telefónica o a través del email, algunos más o menos efectivos dependiendo el objetivo.

Ingeniería social vía telefónica

El atacante se hace pasar por otra persona, la cual es legítima a la empresa o entidad de la cual quiere obtener información, comúnmente se hacen pasar por algún empleado de alta jerarquía para mostrar cierta superioridad o intimidar a quien atienda la llamada, si es necesario.

Hay muchas personas que no están capacitadas para un ataque por ingeniería social vía telefónica o más bien, las empresas no los capacitan, con lo cual facilitan el trabajo al atacante. Hoy en día incluso los delincuentes que se dedican a las extorsiones utilizan este método, intimidando a las victimas las cuales caen en la trampa debido al miedo que les ocasionan.

Ingeniería social por email

Consiste en enviar un email a la víctima, haciéndoles caer en la trampa de que necesitan sus datos de acceso (usuario y contraseña) para corroborarlos o incluso les piden que actualicen su información de acceso por unos que el atacante le proporciona.

Un ejemplo muy típico de ingeniería social por email es cuando reciben un email haciéndose pasar por entidades como Banamex, Bancomer, HSBC, etc. Pidiéndoles que accedan al sitio Web de dicha entidad para que cambien sus datos, porque está habiendo un robo de las cuentas de sus clientes y demás, pero el link de acceso los lleva a una Web falsa en la cual al intentar acceder, prácticamente le estas proporcionando el acceso al atacante, de aquí nace el termino phishing.

Prevenir ataque por ingeniería social

Cuando reciban un email en el cual quieran alguien obtener información referente a su persona, es decir sus datos personales, desconfié totalmente, ninguna empresa por lo regular le pide sus datos de acceso, ahora bien si tiene alguna duda de que esto pueda ser verdad, revise que la dirección de email sea legitima, o incluso póngase en contacto con la empresa o entidad para corroborar que hay algún problema.

Sí le hablan por teléfono pidiéndole información la cual usted sabe que puede poner en riesgo la seguridad de su empresa, desconfíe plenamente y comience a corroborar la información de la persona que le habla, en caso de una extorsión, escuche atentamente al delincuente, si detecta que la información que le dan es falsa, cuelgue el teléfono y llame a la entidad encargada en este tema para reportar el número telefónico, en caso de que no esté seguro si es cierta la información, al terminar de escuchar cuelgue el teléfono e intente localizar a la persona involucrada.

Leave a Reply

Your email address will not be published. Required fields are marked *