Ingenieria social seguridad informatica

¿por qué los ciberatacantes suelen utilizar ataques de ingeniería social?

La ingeniería social es el arte de manipular a las personas para que entreguen información confidencial. El tipo de información que buscan estos delincuentes puede variar, pero cuando se trata de individuos, los delincuentes suelen intentar engañarle para que les dé sus contraseñas o información bancaria, o acceder a su ordenador para instalar secretamente un software malicioso, que les dará acceso a sus contraseñas e información bancaria, además de darles el control de su ordenador.

Los delincuentes utilizan tácticas de ingeniería social porque suele ser más fácil explotar su inclinación natural a la confianza que descubrir formas de piratear su software.    Por ejemplo, es mucho más fácil engañar a alguien para que te dé su contraseña que intentar hackear su contraseña (a menos que la contraseña sea realmente débil).

La seguridad consiste en saber en quién y en qué confiar. Es importante saber cuándo y cuándo no creer en la palabra de una persona y cuándo la persona con la que te comunicas es quien dice ser. Lo mismo ocurre con las interacciones en línea y el uso de sitios web: ¿cuándo confías en que el sitio web que utilizas es legítimo o es seguro para proporcionar tu información?

Phishing de voz

En otras palabras, favorecen la ingeniería social, lo que significa explotar los errores y comportamientos humanos para llevar a cabo un ciberataque. Para un ejemplo sencillo de ingeniería social, esto podría ocurrir en el caso de que un ciberdelincuente se haga pasar por un profesional de la informática y solicite su información de acceso para parchear un fallo de seguridad en su dispositivo. Si proporcionas la información, acabas de entregar a un individuo malicioso las claves de tu cuenta y ni siquiera ha tenido que tomarse la molestia de piratear tu correo electrónico o tu ordenador para hacerlo.

Como ocurre con la mayoría de las ciberamenazas, la ingeniería social puede adoptar muchas formas y está en constante evolución. A continuación, vamos a repasar cómo es la ingeniería social hoy en día, los tipos de ataque que hay que conocer y las señales de alarma a las que hay que prestar atención para no convertirse en una víctima.

Para definir la ingeniería social, se trata del arte de manipular a alguien para que divulgue información sensible o confidencial, normalmente a través de la comunicación digital, que puede utilizarse con fines fraudulentos.

A diferencia de los ciberataques tradicionales, que se basan en las vulnerabilidades de seguridad para acceder a dispositivos o redes no autorizadas, las técnicas de ingeniería social se centran en las vulnerabilidades humanas. Por esta razón, también se considera hacking humano.

Violación de datos

En otras palabras, favorecen la ingeniería social, lo que significa explotar los errores y comportamientos humanos para llevar a cabo un ciberataque. Para un simple ejemplo de ingeniería social, esto podría ocurrir en el caso de que un ciberdelincuente se haga pasar por un profesional de TI y solicite su información de acceso para parchear un fallo de seguridad en su dispositivo. Si proporcionas la información, acabas de entregar a un individuo malicioso las claves de tu cuenta y ni siquiera ha tenido que tomarse la molestia de piratear tu correo electrónico o tu ordenador para hacerlo.

Como ocurre con la mayoría de las ciberamenazas, la ingeniería social puede adoptar muchas formas y está en constante evolución. A continuación, vamos a repasar cómo es la ingeniería social hoy en día, los tipos de ataque que hay que conocer y las señales de alarma a las que hay que prestar atención para no convertirse en una víctima.

Para definir la ingeniería social, se trata del arte de manipular a alguien para que divulgue información sensible o confidencial, normalmente a través de la comunicación digital, que puede utilizarse con fines fraudulentos.

A diferencia de los ciberataques tradicionales, que se basan en las vulnerabilidades de seguridad para acceder a dispositivos o redes no autorizadas, las técnicas de ingeniería social se centran en las vulnerabilidades humanas. Por esta razón, también se considera hacking humano.

Phishing

En el contexto de la seguridad de la información, la ingeniería social es la manipulación psicológica de las personas para que realicen acciones o divulguen información confidencial. Esto difiere de la ingeniería social dentro de las ciencias sociales, que no se refiere a la divulgación de información confidencial. Se trata de un tipo de truco de confianza con el fin de obtener información, hacer un fraude o acceder a un sistema, y se diferencia de una «estafa» tradicional en que suele ser uno de los muchos pasos de un esquema de fraude más complejo[1].

Un ejemplo de ingeniería social es el uso de la función «olvido de contraseña» en la mayoría de los sitios web que requieren un inicio de sesión. Un sistema de recuperación de contraseñas mal protegido puede utilizarse para conceder a un atacante malintencionado acceso completo a la cuenta de un usuario, mientras que el usuario original perderá el acceso a la cuenta.

El comportamiento de los empleados puede tener un gran impacto en la seguridad de la información en las organizaciones. Los conceptos culturales pueden ayudar a los diferentes segmentos de la organización a trabajar eficazmente o a trabajar en contra de la eficacia hacia la seguridad de la información dentro de una organización. «Exploring the Relationship between Organizational Culture and Information Security Culture» proporciona la siguiente definición de cultura de seguridad de la información «La cultura de la seguridad de la información es el conjunto de patrones de comportamiento en una organización que contribuyen a la protección de la información de todo tipo»[3].