Gamers ahora disponen en Latam de SSD más fría
El uso de la ingeniería social es cada vez más frecuente, en especial como parte de un ataque mayor de toma de datos.
Por Josh Fruhlinger | Original de IDGN
Como ocurre en casi todas las areas, en la ciberdelincuencia hay matices y especialidades.
Si bien la mayoria de actores maliciosos utilizan la “fuerza” del código para vulnerar nuestras defensas, cada vez hay más espacio para la maña.
Por supuesto, requiere más tiempo. Pero algunos grupos (en la ingeniería social hay poco espacio para el hacker solitario) encuentran emoción en estas elaboradas trampas para obtener acceso a:
- Edificios
- Sistemas
- O datos
Resistirlos requiere entrenamieto para detectar las señales tanto para el equipo de TI como para toda la organización.
Pero, antes de preocuparnos por eso, vayamos a lo básico
¿Qué es la ingeniería social?
La ingeniería social es el arte de explotar la psicología humana, en lugar de las tradicionales técnicas de piratería, para obtener acceso a edificios, sistemas o datos.
Por ejemplo, en lugar de tratar de encontrar una vulnerabilidad de software, un ingeniero social podría llamar a un empleado y hacerse pasar por una persona de soporte de TI, tratando de engañarlo para que divulgue su contraseña.
El famoso hacker Kevin Mitnick ayudó a popularizar el término “ingeniería social” en los años 90, aunque la idea y muchas de las técnicas existen desde que existen los estafadores.
Incluso si tiene todas las funciones necesarias en lo que respecta a proteger:
- Su centro de datos
- Sus implementaciones en la nube
- La seguridad física de su edificio…
Aún cuando usted y su empresa pueden:
- Haber invertido en tecnologías defensivas
- Tener políticas y los procesos de seguridad adecuados
- Indicadores para medir su eficacia y mejora continua…
Aún cuando usted haga bien TODO eso, un ingeniero social astuto abrirse camino a través… o alrededor de sus defensas.
¿Cómo funciona?
La frase “ingeniería social” abarca una amplia gama de comportamientos.
Todos tienen en común que explotan ciertas cualidades humanas universales:
- Codicia
- Curiosidad
- Cortesía
- Deferencia a la autoridad, etc.
Si bien algunos ejemplos clásicos de ingeniería social tienen lugar en el “mundo real” (por ejemplo, un hombre con un uniforme de FedEx que entra a un edificio de oficinas fanfarroneando), gran parte de nuestra interacción social diaria tiene lugar en línea, y ahí es donde la mayoría de los ataques de ingeniería social suceden.
Por ejemplo, es posible que no piense en el phishing o el smishing como tipos de ataques de ingeniería social, pero ambos se basan en engañarlo, fingiendo ser alguien en quien confía o tentándolo con algo que desea para que descargue malware en su dispositivo.
Esto trae a colación otro punto importante: la ingeniería social puede representar solo un paso en una cadena de ataque más grande.
Un texto smishing utiliza la dinámica social para atraerlo con una tarjeta de regalo gratuita. Pero, una vez que toque el enlace y descargue el código malicioso, sus atacantes utilizarán sus habilidades técnicas para obtener el control de su dispositivo y explotarlo.
¿Cómo evitar ser víctima de la ingeniería social?
Luchar contra las distintas técnicas requiere vigilancia y una mentalidad de confianza cero. Eso puede ser difícil de inculcar en la gente común.
En el mundo corporativo, la capacitación en concientización sobre seguridad es la principal forma de evitar que los empleados sean víctimas de ataques de alto riesgo.
Los empleados deben ser conscientes de que existe la ingeniería social y estar familiarizados con las tácticas más utilizadas.
Afortunadamente, la conciencia de la ingeniería social se presta a la narración de historias.
Y las historias son mucho más fáciles de entender (y mucho más interesantes) que las explicaciones de fallas técnicas.
Los cuestionarios y los carteles humorísticos o que llaman la atención también son recordatorios efectivos para asumir que todos NO SON quienes dicen ser.
Pero no es solo el empleado promedio el que necesita ser consciente de la ingeniería social:
- Los ingenieros sociales se enfocan en objetivos de alto valor como los directores ejecutivos y los directores financieros.
- Los líderes senior a menudo se resisten a asistir a las capacitaciones obligatorias para sus empleados…
- … pero deben estar al tanto de estos ataques más que nadie.
