Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria
Subido por Abrahan Ayala

INGENIERÍA SOCIAL

Anuncio 
INGENIERÍA SOCIAL
“Hecha la ley, hecha la trampa”. Conforme avanza la tecnología, se mejoran y reestructuran los
sistemas de seguridad avanzando a la par de ésta, pero también los atacantes hacen lo mismo,
desarrollan rápidamente formas de evadir los perímetros de seguridad de las empresas apoyados
en nuevos vectores de ataque o mejorando los ya existentes por ejemplo el caso de las APT
(Advanced persistent threat) que son amenazas persistentes como la ingeniería social. Ésta no es
algo nuevo, el fraude como la famosa estafa nigeriana, timo 419 ó timo nigeriano, llamado así
porque la mayor parte de estas estafas provienen de ese país, ya había explotado la inocencia y los
buzones postales de las víctimas desde antes de la existencia de la internet. Dicho timo, consiste
en motivar a la víctima con un premio o dinero inexistente y persuadirla para que realice una
consignación de dinero por adelantado “para realizar los trámites pertinentes” como única
condición para acceder al supuesto dinero o premio. Las sumas solicitadas son bastante elevadas,
pero insignificantes comparadas con la suma de dinero ó el gran premio que las víctimas esperan
recibir. Pues bien, este tipo de engaños ahora usan las Tics para lograr su cometido. (ESET, 2019)
Pero ¿cómo podemos definir en nuestras palabras la ingeniería social?
Podría definirse como la explotación de la seguridad de un sistema, orientada al factor humano,
no a la parte técnica ni tecnológica de la organización, mediante el uso de técnicas de
manipulación y engaños para obtener información sensible. La información sensible no es más que
datos personales e "intransferibles" de una persona que la identifica en la red o en la vida real.
Según laboratorios ESET “La Ingeniería Social puede definirse como una acción o conducta social
destinada a conseguir información de las personas cercanas a un sistema. Es el arte de conseguir
de un tercero aquellos datos de interés para el atacante por medio de habilidades sociales. Estas
prácticas están relacionadas con la comunicación entre seres humanos.” (ESET, 2019)
Los ataques de ingeniería social se realizan por diversos canales:

Por correo electrónico, mediante ataques de tipo phishing.

Por teléfono, a través de una técnica conocida como vishing, que consiste en realizar
llamadas telefónicas suplantando la identidad de una persona o compañía para
conseguir información confidencial de las víctimas.

A través de las redes sociales, canal por el que los cibercriminales consiguen a
menudo extorsionar a los internautas. Mediante unidades externas, como USB. Los
atacantes infectan con ‘malware’ estos medios físicos y después los depositan cerca
de las instalaciones de una compañía con el objetivo de que los empleados más
curiosos los inserten en sus equipos. Esta técnica es conocida como baiting.

Por mensaje de texto (smishing), ataque en el que también suplantan la identidad de
una compañía y con el que los cibercriminales intentan principalmente que las
víctimas pinchen en un enlace, llamen a un número de teléfono o respondan al
mensaje. (BBVA)
Tipos de ataques de ingeniería social
La ingeniería social es una de las formas en las que los cibercriminales usan las
interacciones entre personas para que el usuario comparta información confidencial.
Ya que la ingeniería social se basa en la naturaleza y las reacciones humanas, hay
muchas formas en que los atacantes pueden engañar, en línea o sin conexión.
(NORTON)
Carnada
Los humanos somos curiosos, lo cual es fundamental en estas situaciones. El
cibercriminal puede dejar un dispositivo, como una memoria USB, infectado con
software malicioso a la vista en un espacio público. Alguien recogerá ese dispositivo y
lo conectará a su equipo para ver qué contiene. En ese momento, el software
malicioso se introducirá en el equipo.
Phishing
Es el truco más antiguo entre cibercriminales y sigue siendo uno de los más exitosos,
Las tácticas que se basan en el miedo son las más populares entre los criminales, dado
que presentan una situación en la que se debe actuar de inmediato y, normalmente,
involucran una cuenta bancaria u otra cuenta en línea. (NORTON)
Quid Pro Quo
Una cosa por otra. En este tipo de estafa se tienta a los usuarios con ganar algo,
como premios o descuentos en productos costosos, pero solo una vez que hayan
completado un formulario en el cual se solicita una gran cantidad de información
personal. Todos los datos recopilados se usan para el robo de identidad. (NORTON)
Entre otras.
Bibliografía
BBVA. (s.f.). bbva.com. Obtenido de https://www.bbva.com/es/fraude-al-ceo-como-funciona-ycomo-prevenirlo/
ESET. (2019). Obtenido de eset.com: http://www.esetla.com/pdf/prensa/informe/arma_infalible_ingenieria_social.pdf
ESET. (10 de 10 de 2019). ESET.COM. Obtenido de https://premios.esetla.com/universitario/pdf/scam_box.pdf
NORTON. (s.f.). norton.com. Obtenido de https://co.norton.com/internetsecurity-emergingthreats-what-is-social-engineering.html
Documentos relacionados
Los_10_mandamientos_de_seg
Los_10_mandamientos_de_seg
Miguel Ángel Mendoza
Miguel Ángel Mendoza
BUSINESS EDITION PARA LINUX DESKTOP
BUSINESS EDITION PARA LINUX DESKTOP
PIEDRA AFILAR NORTON GRANO GRUESO Y FINO 8 X 2
PIEDRA AFILAR NORTON GRANO GRUESO Y FINO 8 X 2
seguridad en activos de información humanos
seguridad en activos de información humanos
Ecuasanitas, Ecuador
Ecuasanitas, Ecuador
Escala de Norton
Escala de Norton
Los cibercriminales han aprovechado la oportunidad del día de San
Los cibercriminales han aprovechado la oportunidad del día de San
EDICIÓN 2014
EDICIÓN 2014
Caso de éxito
Caso de éxito
06-Gesti-n-Incidentes-Conclusi-n
06-Gesti-n-Incidentes-Conclusi-n
Descargar
Anuncio
Anuncio