InternacionalAcceso estudiantes

Ingeniería social, claves y precauciones desde la seguridad informática

La ingeniería social consiste en engañar a personas para que compartan información confidencial, por ejemplo, haciéndose pasar por alguien autorizado para acceder a esa información.

Ingeniería social, ciberseguirdad

Las personas son el eslabón más débil de la cadena de seguridad de las organizaciones. La ingeniería social, en el contexto de la seguridad de la información, es el proceso de manipular a las personas para que realicen acciones que violen los protocolos de seguridad. Ya sea divulgar una contraseña, permitir que alguien acceda a las instalaciones o simplemente hacer clic en un enlace.

Los atacantes diseñaron cuidadosamente la ingeniería social para ayudarlos a explotar nuestros sistemas de información. Los objetivos de la ingeniería social pueden ser desde personas u entidades individuales hasta grandes colectivos, ya sea de forma indiscriminada o a colectivos dirigidos y concretos de una entidad.

Por lo general, en la ingeniería social, el atacante se gana la confianza de alguien dentro de la organización. Estos pueden convencer a los empleados de que están relacionados con la alta dirección, el soporte técnico, etc. Una vez convencida la persona, a menudo se anima a la víctima por ejemplo a restablecer su contraseña, abrir archivos adjuntos de correo electrónico, iniciar una aplicación o conectarse a una URL específica. Cualquiera que sea la actividad real, generalmente está dirigida a abrir una puerta trasera que el atacante puede usar para obtener acceso a la red.

Ingeniería social, ciberseguirdad; una mujer señala a la pantalla del ordenador con un hombre al lado mirando

Formas de ingeniería social

Phishing

Quizás la forma más popular de ingeniería social sea el phishing, que es la realizada a través de una comunicación digital. Los ataques de phishing se realizan por correo electrónico o mensajes de texto. Al igual que lanzar un sedal con cebo a un estanque lleno de peces, el phishing se basa en las probabilidades de que si suficientes personas reciben un mensaje atractivo o creíble, alguna de ellas hará clic en un enlace incrustado en él.

Algunos atacantes se dirigen a individuos o grupos específicos, lo que se conoce como spear-phishing. En algunos casos, los objetivos son altos ejecutivos, en cuyo caso se llama whaling (caza de ballenas).

Sea cual sea la variedad, el resultado deseado del phishing es casi siempre que el objetivo haga clic en un enlace que lo llevará a un sitio web bajo el control del atacante. A veces, el sitio web se verá como la página de inicio de sesión legítima de un sitio confiable, como la del banco del usuario. Otras veces, el sitio web es legítimo y ha sido comprometido por el atacante para redirigir a los usuarios a otra parte, como a un servidor de distribución de malware.

Pretexting

El pretexting es una forma de ingeniería social, generalmente practicada en persona o por teléfono, en la que el atacante inventa un escenario creíble con el fin de persuadir a la víctima de que viole una política de seguridad. Un ejemplo común es una llamada del supuesto servicio de atención al cliente o del de prevención del fraude de un banco, en la que el atacante intenta que el objetivo revele números de cuenta, números de identificación personal, contraseñas o información similar.

Ingeniería social, ciberseguirdad; un ahcker lanzando ataque de phishing y malware

¿Cómo prevenir los ataques de ingeniería social?

La principal manera de mitigar los ataques de ingeniería social es la formación y concienciación de los usuarios en buenas prácticas de seguridad de la información y en el cumplimiento de las políticas y procedimientos de seguridad de las organizaciones.

Pero ¿cómo se pueden evaluar los programas de sensibilización destinados a contrarrestar la ingeniería social en todas sus formas? Una forma es realizar un seguimiento del número de veces que los usuarios son víctimas de estos ataques antes y después de la formación y concienciación. El reto con este enfoque es que las víctimas pueden no confesar haber caído en estos ataques y nuestros sistemas de seguridad ciertamente no detectarán todos los casos de ataques exitosos.

Otro enfoque es que los auditores (internos o externos) lleven a cabo campañas benignas de ingeniería social contra nuestros usuarios. Cuando el usuario hace clic en un enlace insertado por los auditores en un email o mensaje, se les advierte que hicieron algo mal y se les redirige a una página web o video corto que explica cómo evitar tales errores en el futuro.

Ingeniería social, ciberseguirdad; un experto de seguridad informática explica a su equipo

Mientras tanto, nuestros sistemas controlarán qué usuarios son más susceptibles y con qué frecuencia estos ataques tienen éxito. La evidencia sugiere que hay un grupo de usuarios que no responderá a la capacitación correctiva, por lo que la dirección debe decidir qué hacer con las personas que repetidamente toman decisiones equivocadas.

Las personas dentro de una organización son vulnerables a los ataques de ingeniería social. Con solo un poco de información o algunos hechos, a menudo es posible lograr que una víctima revele información confidencial o participe en una actividad irresponsable.

Los ataques de ingeniería social explotan características humanas como la confianza básica en los demás, el deseo de brindar asistencia o la propensión a lucirse. Pasar por alto las discrepancias, distraerse, seguir órdenes, asumir que los demás saben más de lo que realmente saben y querer ayudar a los demás también puede conducir a ataques. Los atacantes a menudo pueden eludir extensos controles de seguridad físicos y lógicos porque las víctimas abren una vía de acceso desde el interior a través del perímetro de seguridad.

    Títulos que te pueden interesar

    Noticias relacionadas

    Project Economoy, PMBOK, PMI

    Susana Moreno: “The project economy es un nuevo modelo de trabajo y de aprendizaje continuo”

    Continuamos nuestra conversación con Susana Moreno, presidenta del capítulo de Madrid del Project Management Institute (PMI®), sobre las mejores prácticas a la hora de gestionar proyectos.

    Los riesgos laborales en el teletrabajo: ¿cómo prevenirlos?

    A pesar de no ser los mismos que los de la modalidad presencial, los riesgos laborales en el trabajo deben tenerse en cuenta por parte de todo empresario preocupado por la salud y seguridad laboral de sus empleados.

    Árboles de decisión: en qué consisten y aplicación en Big Data

    Los árboles de decisión son un algoritmo de aprendizaje automático que se utiliza en la ciencia de datos para procesar grandes volúmenes datos y solventar problemas.

    Docencia 100% online

    Nuestra metodología te permite estudiar sin desplazarte mediante un modelo de aprendizaje personalizado

    Clases en directo

    Nuestros profesores imparten 4.000 horas de clases online a la semana. Puedes asistir en directo o verlas en otro momento

    Mentor - UNIR

    En UNIR nunca estarás solo. Un mentor realizará un seguimiento individualizado y te ayudará en todo lo que necesites

    La fuerza que necesitas

    Graduación España 2024

    Graduación España 2024

    Acompañamiento personalizado