Aprende De Redes Idea guardada 0 veces
Sé la primera persona en valorar esta idea Valorar

Ingeniería social: Cómo te roban tus datos y no te das cuenta

En este artículo encontrarás un mini curso de ingeniería social donde podrás hacerte una idea general de porqué es tan peligrosa si se usa con fines poco lícitos, estudiar sus técnicas y repasar casos reales.

¿Qué es la ingeniería social en seguridad informática?

La ingeniería social consiste en un conjunto de engaños y técnicas de manipulación perpetrados con el fin de obtener información confidencial o comprometida de personas, así como acceso o mayores privilegios en sistemas informáticos de empresas y organizaciones.

El concepto de ingeniería social se rige por el siguiente término:
Es más fácil hackear a las personas que a las máquinas.

La razón es bien simple: Nosotros tenemos consciencia, somos manipulables, los ordenadores no. Si a eso le sumamos que cada vez los ordenadores son más seguros, eso nos deja a nosotros como la principal vía de acceso a toda la información sensible que queremos ocultar, y es justamente lo que los piratas informáticos explotan. Por lo tanto podemos afirmar que la ingeniería social es la ciencia o el arte de hackear a las personas.

Ingeniería Social
Asegurate de que páginas de transacciones bancarias y formularios de datos sensibles usen siempre el protocolo HTTPS
¿Ves la gran ironía en todo esto? Los principales interesados en mantener a salvo nuestra información personal somos los que les abrimos las puertas a los delincuentes que quieren abusar de ella.

Seguro que estarás pensando, pero a ver, que si yo no quiero dar mi contraseña, no la daré. ¡Es imposible que la consigan a través de mi!

Lo siento mucho, pero te equivocas. Casi todo el mundo está expuesto sin darse cuenta solamente con el contenido de sus redes sociales. De hecho, su uso en política nos afecta diariamente, pero claro, no nos damos cuenta. Y es que de eso se trata.

5 características sobre la ingeniería social

En cualquier lugar y por cualquier medio: Así es, no solamente los hackers usan la ingeniería social para sonsacarnos información. Los partidos políticos, las grandes multinacionales y los estados participan activamente en campañas de ingeniería social a través de medios físicos y digitales.

Explotan la condición humana: Como decía al principio del post somos manipulables y además animales de costumbres. Por eso si los cíber criminales nos seducen o nos generan una sensación de confianza, nos meten prisa o nos ponen entre la espada y la pared (Tiene 24 horas para enviar sus datos o se le tramitará la multa), aprovechan el respeto o miedo a una autoridad (El jefe de tu trabajo te pide las credenciales de acceso) y muchas otras situaciones, tendemos a ceder porque consideramos que revelar la información es la situación que menos nos afecta.

Te puedes encontrar desde verdaderos expertos hasta principiantes bastante “lamentables”: La calidad de las estafas es muy variable. Hay atacantes con mucha experiencia detrás que saben imitar perfectamente el papel de un empleado de soporte o escribir correos corporativos calcados a los originales.

Las empresas son el objetivo número uno: Un particular no tiene tanto que esconder como las empresas. Estas tienen bases de datos con toda la información de sus trabajadores, sus cuentas, acciones futuras, etc.

Sucederá sin que te des cuenta del ataque: Una de las particularidades de la ingeniería social es la de pasar casi desapercibida. De hecho va ligado al anterior punto: un verdadero experto te transmitirá una sensación de seguridad y confianza que hará de cortina de humo a su verdadero propósito.
Formas de ataque en la ingeniería social

Phishing


Existen muchas formas, temas y medios por los que se te puede atacar en función de la motivación, la imaginación y la experiencia del atacante.

Medios

Mensajería instantánea: Whatsapp, Line, Instagram Direct, Twitter, Skype, Discord, etc. Todos estas aplicaciones de mensajería poseen la característica de una rápida dispersión de la información y capacidad de viralización casi instantánea, lo que es ideal para llegar en el menor tiempo a cuanta más gente posible.

Redes Sociales: Un escaparate lleno de información que la mayoría de los hackers usan para documentarse sobre la víctima e incluso obtener directamente la información que buscan. Es muy frecuente en el usuario de perfil más joven, que no dudará en subir fotos junto a su familia y amigos, en los lugares que frecuenta, mostrando sus relaciones y sus hobbies.

Por teléfono: Una de las más usadas. El delincuente llama haciéndose pasar por alguien más, ya sea un empleado, un técnico de soporte o incluso una autoridad superior.

Por Internet: Cuando navegamos por la red estamos expuestos a muchas posibles trampas.
Correo electrónico: A través de enlaces con malware o phishing.

Web: Banners, publicidad engañosa y formularios falsos.

Salas de chat y Foros: Donde expertos desconocidos se ganan tu confianza.

Dumpster Diving o Trashing “basureo”: Consiste en rebuscar información entre la basura. Desde memorias USB hasta facturas o agendas de teléfonos.

Vía correo postal: Es un medio al que automáticamente le damos mucha credibilidad y confianza. Una gran parte de las facturas y comunicados importantes de bancos nos llegan por aquí. Los hackers lo saben y no dudan en beneficiarse de ello.

Cara a cara: requiere una habilidad mucho mayor que las otras técnicas ya que además de manipular se debe controlar el lenguaje corporal y tener la capacidad de adaptarse a nuevas situaciones y controlarlas, pero si se domina bien es la más efectiva sin duda alguna.Pretextos

Lo primero que hará un buen hacker es analizarte psicológicamente basándose en tus respuestas y comportamiento ante las situaciones que vaya proponiendo, en base a eso usará alguno de los siguientes pretextos o situaciones:

Pretexto de familiaridad: Hacerse pasar por un familiar infunde una confianza casi ciega.

Propuestas de carácter sexual: Desde la típica mujer a 3 km que quiere conocerte hasta una identidad robada con tus mismos gustos a la que milagrosamente le gustas.

Crear una situación hostil: En perfiles de víctimas concretos puede resultar rotundamente efectivo.

Regalos y propuestas inmejorables: Uno de los pretextos más típicos y con más víctimas que no han dudado en caer entre sus garras. Que te ofrezcan trabajo o te regalen el robot aspirador que estás deseando comprarte hacen cambiar el parecer de más de uno/a.Técnicas de ingeniería social

El patrón que usen los hackers seguramente siga alguna de las siguientes técnicas de ingeniería social:

Phishing: Engañar al usuário mediante correos electrónicos fraudulentos en los que se le pide que introduzca datos bancarios o contraseñas para un propósito lícito.

Vishing: El pirata informatico se hace pasar por álguien que no es para ganarse la confianza del usuario, ya sea una organización respetada o un teleoperador, y realiza una encuesta telefónica para sacar todo tipo de información personal sin que este se de cuenta.

Baiting: El atacante prepara una serie de unidades USB, portátiles o tablets con malware instalado. A continuación las sitúa en lugares estratégicos como bares o restaurantes, baños públicos, plazas públicas y cibercafés con el fin de que alguien las encuentre, se las lleve y las conecte a su máquina (en el caso de los USB) o a su red (en el caso de los portátiles y tablets). Entonces el software se instalará y el hacker podrá obtener todos los datos del usuario. Uno de los máximos exponentes en la ingeniería social inversa o pasiva.

Quid pro quo: Esta expresión latina significa “algo por algo”, y de eso se trata esta técnica. El atacante se hace pasar de nuevo por un empleado de soporte técnico. Esta persona informará de un problema legítimo y muy amablemente se ofrecerá a ayudarte. Será pues en dicho proceso en el que se hará con tus datos ya sea haciéndote instalar un malware o haciendo que le des privilegios en tu sistema operativo.

Shoulder Surfing: Se usa en ataques físicos y no es más que el típico “mirar de reojo por encima del hombro”. Puede parecer una tontería que lo clasifique como técnica de ingeniería social pero los verdaderos maestros “mirones” solo necesitan una pequeña distracción para que vean tu pin de la tarjeta de crédito.Estas técnicas se engloban en dos grandes grupos

Hunting: Son aquellos ataques que buscan obtener un dato concreto o una información específica con la menor exposición posible por parte del atacante. Cuanto menos contacto mejor. Normalmente se enfocan a la obtención de contraseñas a través de emails fraudulentos o phishing, donde la víctima solamente tiene contacto con el atacante en el momento de recibir el mail.

Farming: Todo lo contrario. Las campañas de farming buscan mantener el engaño el mayor tiempo posible para obtener el máximo número de recursos y datos de la/s víctima/s. Para ello se suele recurrir a identidades falsas o robadas, que buscan ser tus amigos, darte dinero, placer sexual, etc.
Como defenderte de la ingeniería social

Sí. Defenderte porque no puedes erradicarla. No hay ningún método infalible contra la ingeniería social, pero sí que puedes protegerte.

Ahora que ya conoces qué es la ingeniería social, los principales pretextos y técnicas usadas en los ataques y  sus características comunes, simplemente tienes que contrarrestarlo.

En el caso de un usuario, de un particular, recomendaría lo siguiente:

No abras enlaces sospechosos. Sobretodo en el correo: Las entidades bancarias nunca te pediran que pongas información sensible a través de un correo electrónico.

No divulgues información personal con desconocidos o en lugares públicos como foros o redes sociales.

Regula quién puede ver tus redes sociales.

Ten el antivirus actualizado y realiza análisis del sistema periódicos.

Desconfía de todo lo que sea demasiado bueno como para ser verdad (¡Has ganado!, Prueba esto y hazte rico en 30 días, etc).

Si es gratis, el producto eres tu (tu información).

No actúes impulsivamente, lee las cosas dos veces antes de dar tu consentimiento.

Si crees que alguien te está engañando pídele que se identifique.En el caso de una empresa, que por supuesto dispone de más recursos que un usuario base y además suele recibir tanto el mayor número de ataques así como los más sofisticados, debería proceder de la siguiente forma:

Conscienciar a los empleados con las reglas y consejos descritas anteriormente.

Realizar ataques controlados, es decir, recrear situaciones reales como si de ataques de ciber criminales se tratara, pero en un medio seguro y supervisado, sin amenazas reales.
En estos ataques, cada vez que se consiga hackear a un empleado, este recibirá una alerta que le avisará de que ha sido víctima de un pirateo. Esto provocará un choque emocional en el sujeto que le hará volverse más cauto.

Analizar los objetivos de los ataques, los motivos, los medios, que vulnerabilidad psicológica han explotado, el perfil del empleado que ha sido víctima, etc.

Casos reales de ingeniería social en internet

La mejor forma de aprender y coger experiencia frente a los ataques es analizando algunos ejemplos de ellos.

Virus Stuxnet: En Enero de 2010 se introdujo una memoria USB en la central nuclear de Natanz, Irán. Este USB estaba infectado con un malware llamado Stuxnet, que no era más que un gusano programado para un fin concreto. Este fin era el de escanear la red de computadoras de la central y inutilizar las centrifugadoras usadas para enriquecer el uranio. Cerca del 20% (unas 1000 centrifugadoras) quedaron inutilizadas debido a este ataque de Baiting, que le costó millones al gobierno Iraní. No se sabe de los creadores de dicho programa, aunque se sospecha que los gobiernos de Estados Unidos e Israel pueden estar involucrados.

Principe nigeriano: Es un ataque de phishing que consiste en el envío masivo de emails en los que un supuesto príncipe de Nigeria te regala su herencia a cambio de que abones tu cuenta bancaria o le pagues los costes y comisiones del traslado del dinero. Existen muchas variantes de este ataque: desde los famosos ¡Te ha tocado la loteria! a cuentas bancarias abandonadas e incluso contratos de obra pública. Aunque en su día ya se detuvo al autor de dicho ataque es muy posible que sigamos recibiendo correos similares debido a la popularidad y efectividad que ha adquirido la técnica.

Virus de correos: A principios de 2016 se detectó en España una gran campaña de phishing perfectamente orquestada que suplantaba con éxito la identidad de Correos. El objetivo de dicho ataque era redirigir a los usuarios a una web maliciosa que les instaba a descargar un programa infectado que encriptaba el contenido de sus archivos para posteriormente pedirte que abonaras un rescate si querías recuperarlos. El mensaje era el siguiente, ¿verdad que parece real?
Virus de Correos Mensaje Phishing
Mensaje Phishing de la estafa de Correos


Virus de la policia : Este virus te bloquea el ordenador argumentando que el afectado había visualizado contenidos ilegales como zoofilia, agresiones o pornografía infantil, etc y les pedía pagar una multa de 100 euros si lo querían desbloquear.

Timo de mercadona: A través del mensaje “En Mercadona estamos celebrando el 50 aniversario y por eso regalamos 50 euros para todos” conseguían que las victimas llegaran a una página de Mercadona falsa en la que visualizaban publicidad fraudulenta. En este caso el ataque de phishing no tenía como objetivo el robo de datos, pero sí que poseía un componente de viralización enorme porque el primer paso consistía en una rápida encuesta de 3 preguntas que una vez terminada te animaba a compartir vía facebook.
Conclusiones

La ingeniería social está más presente en nuestras vidas de lo que creemos. Es un campo fascinante tanto des del punto de vista psicológico como des del punto de vista de marketing, sin embargo es importante estar bien protegidos y concienciados de esta práctica, nadie quiere que sus datos se vendan a través de la dark web junto a los de otros millones de usuarios.

Pese a la gran variedad de perfiles de atacantes, estrategias y técnicas, como has visto, con contadas acciones te puedes proteger en un 99% de los casos, no cuesta nada.

The post appeared first on aprendederedes.com.

Fuente: este post proviene de Aprende De Redes, donde puedes consultar el contenido original.
¿Vulnera este post tus derechos? Pincha aquí.
¿Qué te ha parecido esta idea?

Esta idea proviene de:

Y estas son sus últimas ideas publicadas:

Recomendamos

Relacionado

ciencia infografías

Ingeniería Biomédica en el cuerpo humano

La Ingeniería Biomédica se ha caracterizado por su desarrollo y práctica clínica sobre los órganos artificiales, miembros ortopédicos y prótesis. Esta combina los criterios de la ingeniería y las herramientas de análisis de las matemáticas, la física y la química para buscar una solución a problemas de medicina, biología y biotecnología. Además tiene una clara orientación hacia la investigación y ...

general ana aldea carolina fábregas ...

Social Media ROI 2013

Ayer asistí a la jornada "Social Media ROI 2013" que organizó Econred, junto con Madrid Emprende Innova. A este tipo de eventos acuden trabajadores por cuenta ajena (como es mi caso) pero me da la sensación de que la mayoría son emprendedores y Pymes con muchas ganas de aprender y casi seguro con poco presupuesto, por lo tanto, y según los tiempos que corren, el retorno de la inversión s ...

internet informática facebook ...

Google+, la nueva red social

Vista la importancia que esta cobrando Facebook en los últimos años, la cual no se le ha escapado al gigante de la web, Google, y después de lo que me imagino habrá llevado su tiempo han sacado al mercado Google+, de forma Beta, como no podía ser de otra manera. Ya hemos tenido la oportunidad de probarla, y podemos decir que Google ha hecho bien sus deberes, es un producto tecnológicamente muy su ...

general curso posicionamiento web cursos ...

Social Media y Posicionamiento web.

Curso Posicionamiento web, sesión 3. Social Media y Posicionamiento web. En esta tercera entrega del curso posicionamiento web hablamos sobre la importancia que tiene el Social Media como medio de posicionamiento de nuestra marca en Internet. Abarcamos tres de las redes sociales más usadas en México Facebook, Twitter y Google Plus. En la presentación se muestra todo el contenido de esta clase. ...

Dark Web robos de datos ciberdelincuencia ...

Extraordinaria app llamada OWL te ayudará a saber si te han robado datos de tus cuentas

A día de hoy la seguridad cuenta y mucho puesto que son muchos el tipo de aplicaciones que tenemos instalados en nuestros dispositivos y en ocasiones nuestros datos pueden verse vulnerados, sin embargo ahora vamos a poder tener esa cuestión mucho mejor y mas controlada. Y es que estamos ante OWL una interesante aplicación que rastrea el historial digital de su usuario, como opciones permite añadi ...

general tutoriales freebies ...

Free Social Media Buttons.

Que calor hace aquí, madre mía, siento que me derrito, hoy son de esos días que quisieras haber sido algo diferente en tu vida, yo hoy quiero ser un cubito de hielo y estar fresquecita fresquecita. Cuando terminara esta ola de calor? Hace calor donde tu estás? Va que soy como los niños, nunca estoy contenta con nada, si hace calor, por que hace calor ! Si hace frió, por que hace frió! Mi abuela t ...

Acer Hackers Seguridad

Hackers atacan Acer y roban datos privados de 34.000 usuarios

Malas noticias para Acer, el fabricante tecnológico asiático. Un grupo de hackers logró burlar las medidas de seguridad de la empresa y acceder a datos bancarios de más de 34.000 clientes. El comunicado de la empresa indica que una brecha de seguridad detectada recientemente puso en riesgo los datos de más de 34.000 clientes que realizaron transacciones en la web de la empresa entre el 12 de mayo ...

Cómo descargar todos tus datos personales de Google+

Parece que Google+ se va para siempre. El intento de red social de la compañía no ha alcanzado el éxito esperado, y al igual que ocurre con todos los productos de Google que no cumplen con las expectativas, pasará a recibir el descanso de los justos dentro de muy poco. En principio lo habían anunciado para agosto de este año, pero después de conocerse ciertas fugas de seguridad en la plataforma, l ...

móviles samsung samsung galaxy note 3 neo ...

Nuevos datos sobre el Samsung Galaxy Note 3 Neo

Samsung esta preparando una versión de su flamante Galaxy Note 3 pero de bajo coste. Este nuevo terminal se denomina Samsung Galaxy Note 3 Neo. En la imágenes, obtenidas del portal "SAMMOBILE", se puede observar que aparentemente posee un diseño similar al de su hermano, con la parte trasera con acabados simulando el cuero. Las diferencias vendrán en su interior que se quedará a medio ca ...

internet redes sociales pinterest ...

Pinterest: Cuándo y cómo usar esta red social

Pinterest es una red social 100% visual en el que el 80% de los usuarios son mujeres, por lo que los negocios que han de estar en esta red social han de tener en este tipo de perfiles buena parte de su público objetivo. Por ejemplo, se trata de una red social pensada para negocios de moda, restauración o mobiliario. Y es que en cualquier caso están vendido productos que, sobre todo, han de entrar ...