Ingeniería social
Hoy en día para cualquiera entidad, uno de los activos más valiosos es la información. Buscan a toda costa proteger la información implementando controles de seguridad, muchas veces muy costosas para justamente proteger la información mitigando los casos de ingeniería social.
De todos modos, existe un método muy difícil de poder combatir, y es el humano mismo. El humano en sí mismo es el riesgo a mitigar, ya que puede sufrir ingeniería social, de cualquiera de los tipos que vamos a ver. A diferencia de como vimos en ataques cibernéticos o virus informáticos, en este caso no es un ataque a un sistema, sino a las personas.
La ingeniería social es el acto de manipular a una persona a través de técnicas psicológicas y habilidades sociales para cumplir metas específicas. Estas contemplan entre otras cosas la obtención de información, el acceso a un sistema o la ejecución de una actividad más elaborada, pudiendo ser o no del interés de la persona objetivo.
En sí mismo, el usuario es el eslabón más débil de todo el proceso y puede sufrir ingeniería social, dado que no hay un solo sistema en el mundo que no dependa del humano. La ingeniera social es una vulnerabilidad universal, independiente a la plataforma tecnológica que se utilice. Simplemente hay crackers que en vez de estar horas tratando de romper una contraseña, simplemente llaman por teléfono y la consiguen por algún empleado, haciéndose pasar por otra persona muy ingeniosamente. Claro no todos tienen las capacidades sociales para poder realizar esta tarea.
Ingeniería Social
Existen diferentes técnicas de ingeniería social, de las cuales debemos tener mucho cuidado: Phishing, Vishing, Espiar por encima del hombro, smishing, pharming.
Phishing
El phising se refiere al envío de correos electrónicos que tienen la apariencia de proceder a fuentes de confianza como por ejemplo bancos, empresas de energía, empresas de comunicaciones, etc. Pero que en realidad pretenden manipular al receptor para robar información confidencial. Por es siempre recomendable acceder a las páginas web escribiendo la dirección directamente en el navegador y no ingresar por ningún link que dudemos de su procedencia. Recuerden que ninguna entidad va a solicitar datos de su tj de crédito por ejemplo, jamás se les va a pedir el código de seguridad. Un claro ejemplo son ataques fingiendo ser una entidad bancaria, al ingresar les piden todos los datos de la tj, una prueba sencilla es poner una dirección de correo electrónico fingiendo estar ingresando con sus datos reales, y esta dirección falsa la página web se las va a tomar igual, no va a detectar el error, poniendo todos datos falsos le va a permitir ingresar los datos. Justamente lo que hace esto es recopilar sus datos para que luego sea usado por el atacante.
Vishing
Es un método que utilizan los cibercriminales para obtener información a través de llamadas telefónicas. Si, así de simple. Se hacen pasar por ser de alguna entidad bancaria por ejemplo, y aprovechan para ir recopilando datos. Es un trabajo minucioso y que lleva su tiempo, pero es muy común, y mucha gente puede llegar a ser presa fácilmente. Un usuario o cliente, jamás debe revelar datos confidenciales a nadie, como por ejemplo un token de seguridad. El banco jamás pide ese tipo de datos para realizar ninguna operación.
Espiar por encima del hombro
En esta técnica el ciberdelincuente simplemente espía a través de nuestro hombro para obtener las credenciales de acceso o bien es cuando colocan una cámara oculta en un cajero automático para capturar el código pin, previamente colocando algún dispositivo en la ranura para clonar la tarjeta. Siempre hay que estar atento a la hora de ingresar claves en lugares públicos.
Pharming
Similar al phishing, el pharming es la suplantación de un sitio web legítimo en un esfuerzo por engañar a los usuarios al ingresar sus credenciales. Dirige erróneamente a los usuarios a un sitio web falso que simula ser oficial. Las victimas ingresan su información personal creyendo que se conectaron a un sitio legítimo
Smishing
El smishing es una forma de phishing mediante el cual alguien intenta obtener información privada a través de un mensaje de texto SMS. Se utilizan métodos de ingeniería social para que la persona confié en la persona que le envía un SMS y le brinde información privada. Los atacantes buscan todo tipo de información, desde contraseñas en línea hasta el número de su tj de crédito.
Conclusión
Como vimos en cada una de las técnicas, siempre el eslabón a romper es la persona misma. El humano es el que mas riesgo sufre. Hay que implementar todas las medidas de prevención que se puedan, ya que mucha gente no es consciente de los riesgos que involucra la red, por esto cada vez mas empresas son las que invierten mucho para mitigar este problema.
Siempre hay que tener cuidado, desconfiar antes que nada de cualquier mensaje, llamada, mail que veamos extraño, no descargar nada que no estemos seguros y no ejecutar ninguna aplicación si no sabemos con seguridad de que se trata o cual es su origen.