Qué es ingeniería social en ciberseguridad y sus técnicas

Qué es ingeniería social en ciberseguridad y su forma de actual, no es tan fácil de explicar y mucho menos de contrarrestar sus efectos. En este sentido, en su combate, no vale llamar a los expertos para que bloqueen las ventanas vulnerables del sistema. Con toda certeza, la ingeniería social actúa sobre las debilidades humanas, el engaño, el miedo y la manipulación.

La ingeniería social actúa buscando la manipulación psicológica hacia las personas, induciéndolas a revelar información confidencial y engañándolas para que revelen contraseñas. También, manipulan para que se realicen ciertas acciones y enlaces para favorecer la entrada de terceros y comprometer la seguridad del sistema.

Qué es ingeniería social en ciberseguridad y sus técnicas

La mejor forma de entender qué es ingeniería social en ciberseguridad es exponiendo algunos ejemplos y narrando algunas de sus técnicas más comunes:

• Phishing: Se relaciona con el envío de correos electrónicos fraudulentos para engañar a los usuarios y obtener información confidencial de contraseñas y número de tarjetas.
• Pretexto: Es usual en estos ataques crear una situación que llame la atención del usuario para resolver un problema con el fin de engañarlo y obtener una contraseña.
• Baiting: Se aprovecha la curiosidad del usuario dejando un USB en un área común con una etiqueta interesante, que en realidad contiene un malware espía que se activa en un ordenador.
• Tailgating o Piggybacking: Consiste en aprovecharse de usuarios autorizados a sitios restringidos en el dispositivo usando las facilidades de las puertas de acceso del usuario.
• Quid pro quo: Se basa en promover un intercambio de ayuda por información confidencial a través de un engaño, haciéndose pasar por un administrador o técnico.
• Ataques espías: Los atacantes recolectan información previa en las redes y páginas web para luego usarlas en un ataque bien convincente y planificado (spear phishing).

Otros tipos de técnicas de la ingeniería social

Las técnicas de la ingeniería social son muy variadas. En este sentido, en un artículo de innovación digital 360 titulado: “Los ataques de ingeniería social se siguen difundiendo en España” se mencionan otras variantes de las técnicas de la ingeniería social:

• Pretexting: Consiste en una estafa con un engaño o pretexto para robar información.
• Vhishing: Es una especie de Phishing pero por vía telefónica.
• Smishing: Igual que el Phishing pero por vía de mensaje de texto o SMS.
• Whaling: Es un fraude dirigido a los directores generales con conocimiento interno.
• Dumpster Diving: Se recolecta información valiosa en la basura de la empresa.

En caso de ataques de ingeniería social donde se involucre la pérdida de datos lo más recomendable es que el usuario contacte con una empresa de recuperación de datos. Las mencionadas empresas tienen las herramientas necesarias y el personal cualificado para recuperar la información en la mayoría de los casos.

Ejemplo de ataques de la ingeniería social

Los ejemplos de ataques de ingeniería social son numerosos. En efecto, se recuerda el ataque a Sony Pictures en el año 2014 y el ataque a las cuentas de twitter de Obama y Bill Gates.

En el informe de “innovación digital 360”, se menciona que durante el año 2022 el ataque del phishing fue muy frecuente en la península ibérica. Estos ataques de phishing se manifestaron mediante una campaña de phishing con suplantación de identidad con fines de robar información personal y contraseñas. Otra empresa, Iterbel, manifiesta que las amenazas de phishing han aumentado en un 161% en España.

Según WatchGuard, “los mensajes de phishing basados en la ingeniería social continuarán su gran crecida durante 2023”.  Es evidente, que los hackers estudiaran con detalle la información de las víctimas para después atacarlos con sus acciones fraudulentas. Estos hackers conocen que la parte humana es la más débil de la ciberseguridad.

Cómo evitar los ataques de la ingeniería social

Para minimizar los ataques debemos reconocer las señales de los ciberdelincuentes para engañar al humano y también tomar las recomendaciones de las acciones de protección.

Señales que ayudan a identificar el engaño

La forma de evitar los ataques de la ingeniería social comienza con reconocer las señales que ayudan a identificar el engaño. Entre estas señales podemos mencionar:

• Acciones urgentes: Presionar al usuario con una amenaza urgente es muy común.
• Errores ortográficos: Son usuales en las traducciones en masa y direcciones falsas.
• Remitentes y amistades extrañas: Si no están personalizados no hacer click.
• Enlaces y archivos adjuntos fraudulentos: No hacer click desde el correo electrónico.
• Ofertas demasiado buenas: Las estafas suelen ser demasiadas buenas para ser ciertas.

Recomendaciones para evitar los ataques con engaños.

Para evitar los ataques basados en la ingeniería social el usuario debe conocer al máximo las técnicas de la ingeniería social. En este sentido conviene recordar que los ataques van dirigido directamente a la persona aprovechando su descuido o ingenuidad. Antes de todo, entre las recomendaciones para identificar y evitar los ataques podemos mencionar los siguientes:

• Primero que todo, enterarse de cómo actúan los ciberdelincuentes y sus técnicas. Además, enterarse de las novedades de los ataques recientes y engaños de moda.
• Actuar con el dominio real en el buscador y evitar enlaces directamente en la web.
• Evitar al máximo información confidencial en internet.
• Tener sentido común en los requerimientos de dinero y de datos confidenciales y desarrollar un mayor sentido crítico para detectar ofertas engañosas.
• Usar contraseñas fuertes, únicas y de autentificación de dos factores.
• Actualizar los antivirus, antimalware, firmware, aplicaciones originales y sistemas operativos. Además, hacerlo rutinariamente cada vez que se pueda.
• Comprobar las fuentes y consultar el origen de los dominios.

Asesoría para evitar las consecuencias de ataques de la ingeniería social

La ingeniería social ataca y se vale del engaño a las personas y empleados para conseguir sus objetivos. En este sentido, en la posibilidad de ataques de este tipo, la mejor forma de proteger los datos y contrarrestar estos delitos es asesorarse por una empresa de ciberseguridad. Por cierto, es bueno tener claro la respuesta a la pregunta sobre qué es ingeniería social en ciberseguridad.

Estas empresas, además de realizar acciones para el reconocimiento de atacantes y corregir vulnerabilidades, también entrena a los empleados.  Así mismo, enseña técnicas de seguridad para impartirla a las personas para que puedan reconocer y evitar este tipo de ataque. Es importante conocer que los especialistas conocen que el factor humano es a menudo el eslabón más débil en la cadena de seguridad.

Las empresas de ciberseguridad recomiendan el entrenamiento del personal para formar un recurso humano capaz de protegerse eficazmente de los ciberataques que cada vez son más sofisticados. Solo así se crea conciencia del peligro y se podrá anticipar los ataques.  Se recomienda revisar el post “Qué es el Hacking Informático Ético y cómo contrarrestar al Hacking Malicioso” de OnRetrieval donde se dan consejos para evitar el hacking como parte de la Ingeniería social.