En Ar3D queremos que evitéis la ingeniería social a toda costa. Y la mejor forma de hacerlo es conociendo de qué se trata. Durante el artículo encontraréis también un enlace que os facilitará consejos necesarios para protegeros de ataques de ingeniería social.

El concepto de ingeniería social no es una cuestión novedosa. Sus directrices se basan en el sofisticado arte de obtener información a través de la persuasión. Y en muchas ocasiones también del engaño-.

La Ingeniería Social se compone de un conjunto de técnicas: psicológicas, habilidades sociales y herramientas informáticas. Estas son usadas de forma consciente y sistemática por parte de una persona u organización para la obtención de información confidencial de terceros. Todo se basa en un axioma que después de todo este tiempo, sigue estando en plena vigencia en el mundo de la seguridad: el usuario es el eslabón más débil de la cadena de la seguridad. O dicho de otra manera: las personas son el punto débil de cualquier sistema de seguridad.

Imagen 2Cinco consejos para protegerse de ataques de ingeniería social

El gran artífice de esta teoría fue cracker y hacker más buscado de EE.UU. por el FBI: Kevin Mitnick. Este sostenía que independientemente de los sistemas de seguridad de hardware o software que se implanten en un sistema el factor decisivo de la seguridad de los activos de información y de cualquier sistema de seguridad informática es el factor humano.

El método de Mitnick, se basaba en cuatro principios básicos de psicología comunes a casi todos los seres humanos:

 · Todo el mundo quiere ayudar.

· La primera percepción hacia otra persona suele ser de confianza.

· A nadie le gusta decir NO.

· A todo el mundo le gusta que le alaben.

Los canales para aplicar la Ingeniería Social y obtener la información son muy variados: correo electrónico y tradicional, teléfono, contacto directo y personal. En los últimos años las redes sociales han significado una fuente inagotable de información valiosísima para los profesionales de la Ingeniería Social.

Imagen 3

La motivación para conseguir esa información en la gran mayoría de las ocasiones también una cuestión de dinero. Y en casos concretos relacionados con la seguridad de la información de empresas y organizaciones, hablamos de una cantidad de dinero considerable. En otras ocasiones la motivación puede ir desde la venganza, el deseo de atacar a un determinado sistema socioeconómico; o simple afán de superación.

Las técnicas de Ingeniería Social se suelen clasificar en cuatro tipos según el nivel de interacción del Ingeniero Social y de la víctima elegida como objetivo:

· Técnicas pasivas:

Basan su modus operandi en la simple observación de las costumbres y gustos del objetivo. Su misión es la de buscar patrones de conducta para acabar descubriendo un punto débil.

· Técnicas no presenciales:

Aquí entran en juego la utilización de las redes sociales y chats. Además de la recuperación de contraseñas, los mailings masivos, o la suplantación de identidad en llamadas de teléfono.

· Técnicas presenciales no agresivas:

Mediante la vigilancia del objetivo. Contacto en medios de transportes, es decir durante viajes y desplazamientos en general donde las personas solemos ser más accesibles a los extraños; búsqueda en la basura del sujeto; y el escaneo de datos de teléfonos móviles y equipos informáticos, etc.

· Métodos agresivos:

Son acciones directas y contundentes: la suplantación de personalidad, la violencia, las amenazas a la víctima, el chantaje y la extorsión o la utilización de técnicas de presión psicológica.

Imagen 4 Social Ingineering Testing

La mayoría de estas técnicas se basan en aprovecharse de la buena voluntad o la confianza del usuario. En gran medida también entran en juego su curiosidad, su miedo o su empatía. Pero existe otro factor determinante además de estos y que posiblemente sea mucho más importante. Un factor que parte del propio individuo y que seguramente tenga que ver con el ADN mental que la persona lleva grabada desde el principio de los tiempos.

Deja un comentario