Se trata de un conjunto de técnicas que se utilizan para llevar a cabo ciberataques, la ingeniería social es una práctica que utiliza un hacker para robar o manipular a los usuarios en Internet. Pueden hacerse pasar por instituciones oficiales con estrategias casi perfectas, valiéndose de la ingenuidad de los usuarios.
Índice de contenidos
Este es un método que implica la obtención de información de usuarios en Internet, bien sea contraseñas y acceso a cualquier tipo de plataforma, con la finalidad de llevar a cabo fraudes robos y filtración de datos privados. Esta práctica se basa en atacar directamente al usuario más que a la empresa en cuestión, ya que estos cuentan con un nivel de seguridad cibernética más bajo.
Según los criminales cibernéticos, el diseño web de una empresa por ejemplo, de una institución bancaria suele estar protegida por ciertos protocolos y escudos contraataques. Sin embargo, tienen cierta vulnerabilidad frente a los formularios de inicio de sesión del usuario, por lo que utilizan la ingeniería social y una serie de técnicas para acceder a la plataforma y llevar a cabo su objetivo criminal.
¿Cómo funciona este método?
El primer paso que se lleva a cabo con la ingeniería social es el fraude, usualmente, se suplanta la identidad de una institución o un empleado de esa institución para engañar a los usuarios. Para ello se utilizan diferentes canales, como el correo electrónico o enlaces fraudulentos.
Una de las técnicas utilizadas en esta práctica es el phishing, envían un correo electrónico que menciona que el usuario debe “renovar un permiso” con la intención de que acceda a la plataforma de página, como la plataforma digital de un banco. Sin embargo, el enlace es falso, por lo que al momento de ingresar sus credenciales éstas podrán ser vistas por el criminal cibernético.
Suele ser una metodología muy efectiva para los ingenieros sociales, ya que es más fácil aprovecharse de la respuesta predecible de los usuarios en ciertas situaciones, que intentar encontrar algún agujero dentro del protocolo de seguridad del desarrollo de la plataforma o app. Por ejemplo, si envían un correo que indica que “alguien ha intentado ingresar a tu cuenta” intentarás cambiar tu contraseña inmediatamente, por lo que harás clic en el enlace adjunto sin pensarlo dos veces y sin darte cuenta que se trata de un fraude.
En este caso, tanto las empresas cómo los usuarios deben ser responsable de la seguridad para evitar los ataques de ingeniería social. En primer lugar, las empresas deben utilizar comprobantes de autenticidad de los perfiles, de esta forma, se evitará que algún atacante pueda ingresar a la plataforma incluso si cuenta con las credenciales de usuario. Una herramienta útil es la autenticación de doble factor, donde se utiliza un código adicional y temporal que solo el usuario puede ver a través de una aplicación.
Asimismo, los usuarios deben evitar ofrecer algún dato de tipo personal a través de correo o cualquier otra plataforma no oficial. Al mismo tiempo, es importante mantener los software antivirus y malware bien actualizados, verificar siempre la dirección de correo electrónico y las URL’s antes de ingresar a cualquier plataforma.
Los canales más utilizados por los atacantes son las redes sociales, usualmente, los usuarios tienden a compartir información personal a través de estas plataformas. Por ejemplo, fotografías de toda la familia, la localidad dónde se encuentran, gustos personales, entre otros. Esta puede ser una oportunidad perfecta para los atacantes en caso de que quieran llevar a cabo un robo de identidad.
Existe una práctica llamada Vishing que consiste en realizar una llamada telefónica, con la excusa de realizar “una encuesta”. De forma que la víctima proporcione información personal, que puede utilizar luego para robo de datos o suplantación de identidad.
El baiting también es una práctica muy utilizada en estos casos, se trata de regalar un dispositivo de almacenamiento, como un USB que está infectado con malware. Cuando el usuario lo utilice, l virus podrá ingresar a su ordenador y a todos sus datos personales.
Actualmente, las empresas están aplicando esta metodología a la inversa, de forma que puedan prevenir a sus usuarios y trabajadores, así como para fortalecer sus sistemas de seguridad. Ten más información al respecto en estos enlaces.