En alguna ocasión muchos de nosotros habremos pasado por la incomoda situación de un día no haber podido ingresar a nuestro email o nuestra cuenta de Facebook, intentas una y otra vez ingresar tu contraseña sin un resultado positivo, pues bien, no se trata que de ayer a hoy te olvidaste de tu clave o que Hotmail o Gmail esta fallando, simplemente hackearon tu cuenta. Lo más incomodo aún, es que terminan usandola para fines de correo basura o spam...que dilema.
Bueno, el ejemplo que estoy dando es el mas sencillo y común en pasarnos, pero, ¿te imaginas si la cuenta que hackeen sea el correo de la empresa en la cual trabajas?, la cosa se vuelve mucho mas seria, ya que este intruso virtual pudo hacer uso de la ingeniería social y tiene acceso a información mucho mas importante que tu correo social.
¿Qué es la ingeniería social?
En pocas palabras, la ingeniería social es un conjunto de técnicas psicológicas y habilidades sociales (como la influencia, la persuasión y sugestión) implementadas hacia un usuario directa o indirectamente para lograr que éste revele información sensible o datos útiles sin estar conscientes de su maliciosa utilización eventual. Estas pueden estar llevadas a cabo mediante el trabajo con tecnología y ordenadores o directamente a través del trato personal. Su objetivo, evadir o hacer más fácil el acceso a los sistemas de seguridad tradicionales al acceder desde la fuente más confiable pero más vulnerable, el propio protegido.
Tipos de ingeniería social
Existen dos tipos de ingeniería social, la basada en computadoras y la basada en los recursos humanos.
La basada en computadoras utiliza los descuidos que comenten los usuarios al caer en trampas como las cadenas de correos, el spam, las ventanas pop-up y los correos con infecciones. Este término aunque pertenece a la ingeniería social, no resulta muy representativa e interesante.
En cambio la basada en los recursos humanos, en el tratamiento generalmente directo con los datos del afectado se considera para muchos la verdadera ingeniería social, ya que buscaría hacerle confesar al usuario algunas pistas para poder obtener la clave de aceso a la red informática de una institución financiera privada, por ejemplo.
Enfocandonos mas en este tipo en específico, usa la psicología como herramienta principal siendo una de ellas la curiosidad (lo que nos mueve a mirar, a responder y a tocar donde no debemos), el miedo (ante el temor, buscamos ayuda de cualquier manera), la confianza (nos sentimos seguros ante la menor muestra de autoridad), la ingeniería social es el arte de aprovechar circunstancias intencionales, estar atento a cualquier error que comentas sin que te des cuenta.
Aquí reside parte de su efectividad, pues lo que dices frente a cualquier persona con la que te encuentres podría no tener relevancia alguna, pero ante un profesional que utiliza este método, el nombre de tu hijo o a que colegio asististe puede convertirse en la clave de acceso a tu correo y de ahí al resto de tus servicios financieros.
Técnicas de la ingeniería social
Se dividen según el grado de interacción que se tiene con la persona dueña de la información a conseguir. Estas pueden ser las técnicas pasivas, las no presenciales, las presenciales no agresivas y las agresivas.
Las técnicas pasivas se basan simplemente en la observación de las acciones de la persona, como lo principal en la ingeniería social es que cada caso es diferente, el experto debe saber desenvolverse y adaptarse al ambiente donde va a aplicar su técnica. Cualquier cosa sirve, conocer sus conductas informáticas, obtener datos simples como cumpleaños, nombres de sus familiares, etc.
Las no presenciales se desenvuelven a través de medios informáticos como el email, IRC, teléfono y son los más comunes y con más exito ya que las personas tienden a confiar datos luego de ver un texto bien escrito y con algún emblema, sello o firma para darle falsa legitimidad.
Las técnicas presenciales no agresivas incluyen seguimiento de personas, vigilancia de domicilios, acceso a agendas, buscar información en anotaciones, recibos, estados de cuenta, etc que se encuentre en la basura del investigado.
En los métodos agresivos, el trabajo es más intenso llegando a la suplantación de identidad (hacerse pasar por un técnico de computadoras, un guardia privado, etc.). Según los expertos en seguridad, la combinación de este último método junto a la explotación de los tres factores psicológicos antes mencionados pueden ser altamente efectivos en el trabajo cara a cara con la víctima.
Principios de la efectividad de la ingeniería social
La ingeniería social tiene cuatro principios por los cuales su efectividad resulta inmensurable:
1) Ante alguien que inspira el mínimo respeto o incluso lástima, todos queremos ayudar, por lo que nos mostramos dispuestos siempre a dar un poco más de lo que se nos pide.
2) Siguiendo el primer principio, el primer movimiento es siempre de confianza hacia el otro.
3) No nos gusta decir NO, esto nos lleva a mostrarnos menos reacios a ocultar información ya cuestionarnos si no estaremos siendo muy paranoicos al negar todo.
4) A todos nos gusta que nos alaben.
Con estos principios sociológicos aplicados con las técnicas mencionadas, el trabajo de los ingenieros sociales se vuelve efectivo e indetectable.
¿Cómo defenderte de ella?
La ingeniería social es una de las técnicas más complejas de evitar y detectar. Informarte de como funciona es un primer paso para defenderte y estar atento a diferentes intenciones sin llegar a la paranoia.
Estos consejos pueden serte de utilidad:
- No digites tu contraseña cerca de otra persona y no la anotes en papeles que puedan terminar en la basura.
- Mantente alerta a las intenciones que tienen quienes intentan ayudarte por vías peligrosas.
- No abras correos de desconocidos.
- Y nunca te vas a ganar un auto o miles de dólares en efectivo enviando tus datos personales en mensajes por celular.
Esta es la información que te puedo suministrar sobre ingeniería social, prestemos más atención a nuestras cuentas de correo o financieras sin llegar a ser paranoico y recuerda que el eslabón más vulnerable en cualquier sistema de seguridad somos las personas.
Tomado de: NeoTeo
Autor: Unknown
Pixatero
0 comentarios:
Publicar un comentario