15 Sep ¿Qué es la ingeniería Social?
Ingeniería social es el hecho de manipular a las personas para que realicen una acción específica en beneficio del atacante. Si te suena a una estafa, estarás en lo cierto. Pero la Ingeniería Social va mucho más allá del simple fraude, pues muchas veces el objetivo no es obtener un beneficio sino situarse más cerca de la meta, consiguiendo poco a poco escalar posiciones hasta que su ataque final pueda ser realizado. Se trata de una parte clave en las actividades cibercriminales, especialmente en las campañas de phishing. Pero ¿qué es la ingeniería social exactamente?
La I.S. se basa en técnicas asociadas a nuestras relaciones sociales. Vivimos en sociedades en las que debemos acatar ciertas normas que marcan nuestro comportamiento. También hay ciertas reglas de conducta presentes en culturas muy diversas. Son técnicas muy simples, pero si se realizan de forma adecuada, muy efectivas. Debemos tratar de identificarlas, para que al detectarlas suenen todas las alarmas y realicemos las verificaciones oportunas para corroborar si se trata o no de un ataque.
Los estafadores tienen muchas armas en su arsenal de ingeniería social con que atacarnos. Estas incluyen:
- Crear una sensación de urgencia, por ejemplo marcando una hora límite para actuar.
- Haciéndose pasar por alguien importante, como puede ser el dueño de tu empresa.
- Mencionando eventos actuales que den mayor verisimilitud al mensaje.
- Ocultando URLs maliciosos, haciéndolos pasar por legítimos.
- Ofrecer una recompensa, como un regalo o una promoción.
El phishing no puede funcionar sin el primer paso, la ingeniería social, que nos persuade en realizar una acción específica. Pero la ingeniería social se está convirtiendo cada día en algo más sofisticado y específico, ya que los atacantes quieren estar un paso por delante de los usuarios o tienen objetivos más grandes y estratégicos.
Por supuesto, la ingeniería social no se limita a las campañas de phishing por correo electrónico. La I.S. puede ocurrir en las redes sociales, en persona o a través del teléfono, como una inocente llamada que recibes en tu trabajo de un supuesto soporte técnico, que requiere conocer detalles como el sistema operativo que usa tu empresa, información que resulta ser imprescindible para un atacante.
Puede ser difícil evitar completamente ser víctima de este tipo de ataques, pero hay una serie de cosas que siempre debes tener en mente:
- Confía en tu instinto. Si algo huele mal, tomate tu tiempo, no hagas nada y verifica la situación.
- Si alguien te pide información sensible por el teléfono, como tu nombre de usuario y contraseña, cuelga. Un soporte técnico ya dispondrá de esos datos y nunca te los pedirá.
- Evita abrir archivos adjuntos no solicitados y seguir enlaces que aparecen en correos electrónicos, especialmente cuando no los has requerido.
- Recuerda que tú tienes el control. No dejes que nadie te diga lo que tienes que hacer, especialmente cuando no estás seguro de que sea lo correcto.
Para finalizar mantente alerta y cauteloso. Si algo parece demasiado bueno para ser verdad, seguro que no lo es.
Fuente: https://news.sophos.com/
Disculpa, pero los comentarios están cerrados en este momento.