{"id":1645,"date":"2018-09-21T10:47:21","date_gmt":"2018-09-21T08:47:21","guid":{"rendered":"http:\/\/www.syneidis.com\/?p=1645"},"modified":"2022-04-06T12:39:45","modified_gmt":"2022-04-06T10:39:45","slug":"social-engineering-risk","status":"publish","type":"post","link":"https:\/\/www.syneidis.com\/es\/social-engineering-risk\/","title":{"rendered":"Descubre qu\u00e9 es la ingenier\u00eda social, conoce sus riesgos y aprende a combatirla"},"content":{"rendered":"
[et_pb_section admin_label=\u00bbsection\u00bb][et_pb_row admin_label=\u00bbrow\u00bb][et_pb_column type=\u00bb4_4″][et_pb_text admin_label=\u00bbText\u00bb background_layout=\u00bblight\u00bb text_orientation=\u00bbleft\u00bb use_border_color=\u00bboff\u00bb border_color=\u00bb#ffffff\u00bb border_style=\u00bbsolid\u00bb]<\/p>\n
La wikipedia define <\/span>Ingenier\u00eda social<\/b> como \u201cla pr\u00e1ctica de obtener informaci\u00f3n confidencial a trav\u00e9s de la manipulaci\u00f3n de usuarios leg\u00edtimos. Es una t\u00e9cnica que pueden usar ciertas personas para obtener informaci\u00f3n, acceso o privilegios en sistemas de informaci\u00f3n que les permitan realizar alg\u00fan acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos\u201d.<\/span><\/p>\n Es decir, la Ingenier\u00eda Social es la disciplina que usa la manipulaci\u00f3n para hackear a las personas. Explota el hecho de que, en cualquier sistema, el factor humano es el eslab\u00f3n m\u00e1s d\u00e9bil.<\/span><\/p>\n Creando el contexto adecuado se puede manipular a una persona para que de acceso a informaci\u00f3n importante y personal. Por ejemplo:<\/span><\/p>\n -Buenos d\u00edas, le estamos llamando de su oficina bancaria, hemos detectado un problema al intentar procesar un pago de su tarjeta de cr\u00e9dito \u00bfser\u00eda tan amable de confirmarnos sus datos para volver a intentarlo?<\/span><\/p>\n Los ciberdelicuentes que emplean t\u00e9cnicas de ingenier\u00eda social se apoyan en estos principios b\u00e1sicos definidos por <\/span>Pablo Iglesias<\/span><\/i>, en su post \u201c<\/span>Los 6 principios b\u00e1sicos de la ingenier\u00eda social<\/span><\/i>\u201d:<\/span><\/p>\n Estos principios parten de la base de que el comportamiento humano es f\u00e1cilmente predecible. Asume que si se aborda al usuario de la forma adecuada, se consigue la informaci\u00f3n necesaria.<\/span><\/p>\n El principal aliciente para los estafadores que utilizan estas t\u00e9cnicas es su sencillez y su bajo coste. C\u00f3mo dijo el consultor de seguridad Kevin Mitnick: \u201ces m\u00e1s f\u00e1cil enga\u00f1ar a alguien para que d\u00e9 su contrase\u00f1a de ingreso a un sistema que hacer el esfuerzo para hackearlo\u201d.<\/span><\/p>\n Una de la modalidades de ataque m\u00e1s simple y conocida, pero tambi\u00e9n muy exitosa. Consiste en enga\u00f1ar al usuario para que crea que un administrador del sistema le est\u00e1 pidiendo su contrase\u00f1a con una raz\u00f3n leg\u00edtima. <\/span><\/p>\n Consiste en la realizaci\u00f3n de llamadas telef\u00f3nicas fraudulentas, que simulan \u00a0encuestas con el objetivo de obtener informaci\u00f3n privada sin que la v\u00edctima sospeche.<\/span><\/p>\n En este tipo de ataque utiliza un dispositivo de almacenamiento extra\u00edble (CD, DVD, USB) previamente infectado con un malware, y que luego se deja en un lugar p\u00fablico donde pueda ser f\u00e1cil de encontrar. La persona que lo encuentre, si decide introducirlo en su ordenador, instalar\u00e1 el software malicioso y el hacker podr\u00e1 acceder a todos los datos personales del usuario<\/span><\/p>\n Consiste en el robo de datos personales por SMS. Es un nuevo tipo de delito de ingenier\u00eda social que usa mensajes de texto enfocados en dispositivos m\u00f3viles.<\/span><\/p>\n El crecimiento de las redes sociales y la informaci\u00f3n que compartimos a trav\u00e9s de ellas, \u00a0atrae a un gran n\u00famero de ciberdelincuentes. Suelen presentar sus fraudes en forma de ofertas y chollos para dirigir a los usuarios a webs fraudulentas donde les piden sus datos o autorizaci\u00f3n de acceso a sus perfiles sociales. Otro se\u00f1uelo que emplean son los \u00a0juegos o concursos en los que solo ganan los estafadores.<\/span><\/p>\n El hacker se aprovecha de la confianza que las personas tienen con su entorno m\u00e1s cercano (familiares y amigos) y suplantan la identidad de alguno de ellos.<\/span><\/p>\n Se benefician de la tendencia humana de alejarse de quien parece estar loco o enfadado. \u00bfC\u00f3mo? Creando un ambiente hostil, que provoque suficiente estr\u00e9s como para que responda las preguntas sin oponer resistencia.<\/span><\/p>\n Una estrategia muy usada por ciberatacantes es colarse en un proceso de selecci\u00f3n personal de la empresa que tienen como objetivo. Esta es un buena manera de estar cerca de la v\u00edctima y obtener toda la informaci\u00f3n de primera mano. Ya que las PYMES \u00a0no suelen revisar en profundidad los antecedentes de los candidatos.<\/span><\/p>\n El dominio del lenguaje no verbal puede ayudar a los estafadores a establecer una mayor conexi\u00f3n con sus v\u00edctimas. Las detalles pueden ser importantes: el ritmo de la respiraci\u00f3n, la sonrisa, detectar si la persona parece nerviosa y reconfortarla. Luego se mostrar\u00e1 m\u00e1s receptiva a dar informaci\u00f3n personal.<\/span><\/p>\n Jugar con lo relacionado con el deseo sexual, es una t\u00e9cnica casi infalible de manipulaci\u00f3n, ya que la persona baja sus defensas y se distorsiona su percepci\u00f3n.<\/p>\n El hacker inform\u00e1tico m\u00e1s famoso de la historia, su nick o apodo fue C\u00f3ndor. Tambi\u00e9n se hac\u00eda llamar a s\u00ed mismo el fantasma de los cables. Luego de pasar una buena temporada entre rejas, se reform\u00f3 y se cambi\u00f3 al sector de la consultor\u00eda de seguridad.<\/p>\n Autor del primer marco te\u00f3rico de los principios de la ingenier\u00eda social. Consultor de seguridad estadounidense enfocado al estudio de esta rama, a publicado tres libros relacionados: Ingenier\u00eda social: El arte de la pirater\u00eda humana, Desenmascarando al ingeniero social y Phishing Dark Waters.<\/span><\/p>\n Consultor de seguridad, autor y orador reconocido. Propulsor de t\u00e9cnicas de ingenier\u00eda social como las \u00abllamadas en fr\u00edo\u00bb (cold calling). Se dio a conocer en unas charlas donde mostraba grabaciones de llamadas registradas y demostraba en vivo lo que las t\u00e9cnicas para obtener las contrase\u00f1as o informaci\u00f3n sensible de los usuarios.<\/span><\/p>\n Desarroll\u00f3 el concepto de Ingenier\u00eda Social Aplicada que permite separar los \u00a0casos de estafa digital y el estudio del Hacking Social. Public\u00f3 un libro titulado: Ingenier\u00eda Social Aplicada: Primera l\u00ednea de defensa. Adem\u00e1s se le conoce por sus conferencias sobre hacking humano y comercio en la Deep Web.<\/p>\n Ramy, Muzher, y Shadde Badir, un tr\u00edo de hermanos ciegos de nacimiento que lograron establecer un esquema de fraudes telef\u00f3nicos e inform\u00e1ticos en Israel en los a\u00f1os 90 por medio de ingenier\u00eda social, imitaci\u00f3n de la voz y ordenadores con pantalla Braille.<\/span><\/p>\n <\/p>\n Aunque la ingenier\u00eda social puede afectar a personas y a empresas, \u00a0los ataque se est\u00e1n concentrando en objetivos empresariales, tanto a grandes corporaciones y como a las PYMES.<\/span><\/p>\n Los objetivos de dichos ataques se pueden clasificar en:<\/span><\/p>\n Fraude<\/b>: obtener dinero de la v\u00edctima, sin usar violencia.<\/span><\/p>\n Infecci\u00f3n:<\/b> conseguir infectar el dispositivo de la mismo con un software malicioso.<\/span><\/p>\n Robo de credenciales:<\/b> a trav\u00e9s del enga\u00f1o se le sustrae a la v\u00edctima sus claves de acceso a determinados servicios digitales.<\/span><\/p>\n En un informe de la industria publicado en 2015 se revel\u00f3 que los ataques de ingenier\u00eda social est\u00e1n afectando m\u00e1s intensamente a los mandos medios y altos ejecutivos. \u00bfPor qu\u00e9? porque son mucho m\u00e1s lucrativos, seg\u00fan explic\u00f3 en su momento <\/span>Richard De Vere<\/span><\/i>, consultor de Ingenier\u00eda Social y pentester en The AntiSocial Engineer Limited.<\/span><\/p>\n Otro comentario de <\/span>Richard De Vere<\/span><\/i> a SC Magazine, en un tono ir\u00f3nico, muestra claramente el problema del que hablamos: \u201cSi est\u00e1s preparando un correo electr\u00f3nico de phishing, LinkedIn es una mina de oro de donde puedes sacar los datos de los mandos medios y altos ejecutivos. Las herramientas automatizadas pueden hacer r\u00e1pidamente una lista de cientos de direcciones de correo electr\u00f3nico, con los datos de los usuarios y sus credenciales de VPN\/OWA\/Active Directory.\u201d<\/span><\/p>\n Por lo tanto es necesario que desde las empresas se tome conciencia del problema y se dise\u00f1en estrategias que permita reducir los riesgos de este tipo de ataques.<\/span><\/p>\n Aunque el factor humano conlleva, en ciertos casos, un mayor riesgo de ciberataque, tambi\u00e9n es el principal activo de cualquier empresa. Por eso lo importante es dotarlos de la formaci\u00f3n y las herramientas adecuadas para aplicar de forma correcta las pol\u00edticas de ciberseguridad de la compa\u00f1\u00eda.<\/span><\/p>\n\n
Tipos de ataques por ingenier\u00eda social:<\/b><\/h2>\n
\n
\n
\n
\n
\n
Estrategias para el \u00e9xito de un ataque de ingenier\u00eda social:<\/b><\/h2>\n
\n
\n
\n
\n
\n
Personajes reconocidos vinculados a la ingenier\u00eda social:<\/b><\/h2>\n
\n
\n
\n
\n
\n
Ingenier\u00eda social y el riesgo para el sector empresarial:<\/b><\/h2>\n
\u00bfC\u00f3mo prevenir que tu empresa sea v\u00edctima de un ataque por ingenier\u00eda social?<\/b><\/h2>\n
\n