Ingeniería Social. Segunda Parte

in #spanish7 years ago (edited)

Internet se ha convertido en el caldo de cultivo ideal para las amenazas del llamado fenómeno de la ingeniería social donde el desconocimiento y la ingenuidad de los usuarios juegan un papel preponderante, y sólo con el entendimiento de que los peligros reales del internet pasan por el uso y responsabilidad del propio usuario se podrán tomar las debidas y muy necesarias precauciones en lo que, a configuración, almacenamiento, difusión de información o contraseñas se refiere. Recuerde que no se trata de un hackeo normal o técnico, el objetivo no es una máquina es la persona.

La ingeniería social puede entonces y con suficiente certeza ser considerado como el método de propagación de ataques informáticos más utilizado por los creadores de Malware (programa malicioso), estos individuos aprovechan las ventajas de cualquier medio de comunicación para engañar a los usuarios y lograr que éstos terminen cayendo en una trampa que suele apuntar a un fin económico.

fraude_internet.jpg
Fuente: Imagen tomada de la web

¿Por qué usar la ingeniería social?

  1. Es más fácil que tratar de hackear un sistema con códigos y algoritmos.

  2. No es necesario burlar sistemas de detección de intrusos o firewalls.

  3. Las herramientas a utilizar son gratis o de muy bajo costo.

  4. Sin registros y con un alto índice de efectividad.

  5. Y por último pero no menos importante, porque las personas son la vulnerabilidad más grande en cualquier sistema.

ingenieria-socialhacking.jpg
Fuente: Imagen tomada de la web Globb Security

En términos generales las técnicas empleadas por los ingenieros sociales son tan numerosas o específicas como objetivos y objetos, pero todas tienen en común el explotar los siguientes rasgos genéricos del ser humano: el miedo, la confianza (descuido) y la ingenuidad; ejecutadas dentro del marco creado por los sesgos cognitivos utilizados en la toma de decisiones. Asociados a estos rasgos hay técnicas que los explotarán de forma combinada hasta conseguir suficiente información para realizar el ataque definitivo.

97568dd2-6f56-42e8-91dc-a35c03f40a23.png
Fuente: Imagen tomada de la web Emaze

Sin pretender ser exhaustivo, entre otras cosas porque sería inútil ya que en este campo la innovación es constante, ejemplos de técnicas y herramientas que ya han sido empleadas de forma limitada son:

  • Ganar el control, suplantar o replicar canales en los que confía la audiencia objetivo, desde portales gubernamentales a foros. Para ello se utilizan técnicas combinadas como DoS que permiten anular un servidor confiable y sustituirlo por un “dummy” que tome control de las conexiones abiertas, DNS spoofing para redireccionar a sitios web distintos del auténtico, páginas replicadas (mirrors) que se mimetizan con las reales, etc.

  • Generar corrientes de opinión en foros, blogs, encuestas online o por televisión, SMS, y redes sociales mediante el uso de “ganchos”, chat bots que simulan mantener conversaciones y otro tipo de personajes virtuales.

  • En relación al anterior, el robo de identidades en la red para suplantar la personalidad de personajes reconocidos y así dar mayor verosimilitud a los mensajes transmitidos.

  • Utilización de medios masivos de distribución de información, que pueden ser centralizados como Youtube, distribuidos como son las redes P2P, de acceso controlado como Wikileaks, o ilícitos como botnets.

  • Empleo de técnicas de marketing viral, una estrategia de publicidad que incentiva que los individuos transmitan rápidamente un mensaje para crear un crecimiento exponencial en la exposición de dicho mensaje. Son técnicas de publicidad que se propaga a sí misma.

  • El secuestro y redirección de tráfico de Internet a través de áreas controladas para monitorización, filtrado y manipulación de opiniones y contenidos.

  • Generación de imágenes y voces simuladas o reproducidas, discursos desorientadores realizados por dirigentes virtuales o realidad distorsionada.

  • La utilización de los banners publicitarios en los sitios de internet, mediante inserción directa o manipulación de los servicios de subasta on-line, para la propagación de mensajes.

  • Entre otras.

Consejos de seguridad: Cuídese de la IS

AGREGUE A FAVORITOS LOS SITIOS WEB DE CONFIANZA

Dicen que la confianza hay que ganársela. Le recomendamos que trate los sitios Web nuevos igual que a personas que acaba de conocer. Del mismo modo que no confía en todas las personas que conoce en cuanto las ve, no confíe inmediatamente en sitios que solo ha visitado una vez.

SOSPECHAS FUNDADAS

Nunca haga clic en enlaces sospechosos, independientemente de lo prometedores que parezcan los mensajes que los acompañan. Las promesas demasiado buenas para ser verdad son solo eso.

EL MIEDO NO ES UNA OPCIÓN

No se deje intimidar por las amenazas. Muchos delincuentes utilizan el elemento sorpresa para asustarle y llevarle a hacer algo que, en otras circunstancias, no haría. Siempre es mejor ignorar con rotundidad las tácticas que pretenden atemorizar.

COMPARTA SUS CONOCIMIENTOS

Comparta toda la información de la que dispone con las personas de su entorno para que estén más protegidas. No permita que también caigan en las trampas de la ciberdelincuencia.

PREVENIR ES MEJOR QUE CURAR

Invierta en una solución de seguridad eficaz que proteja su sistema y sus datos de todo tipo de amenazas.

Explore y utilice las funciones de seguridad incorporadas de los sitios y páginas Web que visite con frecuencia. Algunos sitios como Facebook incluso proporcionan información sobre las amenazas más recientes y consejos que le permitirán navegar de forma segura por sus páginas.

A pesar de todo lo expuesto la ingeniería social es un tema al que no se le da suficiente importancia dentro de las organizaciones y por los usuarios del ciberespacio perpetuando este fenómeno como un flagelo silencioso pero muy efectivo sobre el resguardo de la información.

Para obtener más información sobre este interesante tema pueden consultar los siguientes enlaces, que han servido de base para este post:

http://www.trendmicro.es/media/br/5-reasons-why-social-engineering-tricks-work-es.pdf

http://www.cajarural.com/rurales/blog/2015/ingenieria_social.pdf

https://www.tlm.unavarra.es/pluginfile.php/11615/mod_resource/content/0/clases/11_SSI-socialeng.pdf

https://www.owasp.org/images/2/27/02_INGENIER%C3%8DA_SOCIAL.pdf

http://www.ieee.es/Galerias/fichero/docs_opinion/2011/DIEEEO74-2011.IngenieriaSocial_LuisdeSalvador.pdf

Infórmate y comparte la información, protégete de la ingeniería social.

Sort:  

Estimado amigo, ciertamente me falto colocar las fuentes, en otras oportunidades lo he hecho, sin embargo en esta oportunidad se me paso, pense haberlas puesto, ya corrijo esta situacion

MUY buena información gracias

Muy buena información 😙