¿Qué es la Ingeniería Social? Ataques, técnicas y prevención

por Pablo Álvarez Corredera
Aprende lo que es la ingeniería social, sus tipos y la importancia que tiene para un hacker ético

La ingeniería social es el arte de manipular a los usuarios de un sistema informático para que revelen información confidencial que se puede utilizar para obtener acceso no autorizado a un sistema informático.

El término también puede incluir actividades como explotar la bondad humana, la codicia y la curiosidad para obtener acceso a lugares privados o causar daños posteriores.

Por ejemplo, lograr el acceso restringido a edificios fortificados o lograr que los usuarios instalen software u hardware que posteriormente den acceso a puertas traseras.

Conocer los trucos utilizados por los hackers para engañar a los usuarios para hacerles divulgar la información vital de un inicio de sesión, es fundamental para lograr proteger los sistemas informáticos.

En este tutorial, se presentan las técnicas más comunes de ingeniería social y cómo idear medidas de seguridad para contrarrestarlas.

¿Cómo funciona la ingeniería social?

Se recopila información

Esta es la primera etapa, la persona aprende todo lo posible de la posible víctima.

La información se recopila de los sitios web de la empresa, otras publicaciones y a veces, incluso hablando con el resto de usuarios del sistema a atacar.

Se planifica el ataque

Los atacantes detallan y planifican cómo pretenden ejecutar el ataque.

Se adquieren las herramientas necesarias

Se recopilan los programas informáticos necesario para ejecutar un ataque.

Se ataca

Aprovechando las debilidades del sistema informático que se ha determinado como objetivo, se pasa a ejecutar las herramientas recopiladas buscando las posibles vulnerabilidades existentes.

Se utilizan los conocimientos adquiridos

Una vez encontradas las debilidades, se pasa a infiltrar los programas capaces de ir más profundo dentro del sistema.

Para ello, se utiliza la información recopilada con anterioridad, durante las tácticas de ingeniería social.

Esa información puede ser, a saber: Los nombres de las mascotas, las fechas de nacimiento de los fundadores de la organización, cualquier dato personal, etc.

Los datos se utilizan principalmente para practicar ataques de fuerza bruta capaces de adivinar contraseñas.

La fórmula más común de utilizar esos datos, es el introducirlos conjunto a posibles combinaciones de los mismos; dentro de los scripts de descifrado de contraseñas.

Técnicas más comunes de ingeniería social

Las técnicas de ingeniería social pueden adoptar muchas formas

. La siguiente es una lista de las técnicas más utilizadas.

Explotación de familiaridad

Los usuarios sospechan menos de las personas con las que están familiarizados. Un atacante puede familiarizarse con los usuarios del sistema objetivo antes del ataque de ingeniería social.

El atacante puede interactuar con los usuarios durante las comidas, puede unirse cuando los usuarios están fumando, en eventos sociales, etc.

Esto hace que el atacante sea capaz de familiarizarse con los usuarios.

Supongamos que el usuario trabaja en un edificio que requiere un código de acceso o tarjeta para acceder, el atacante puede seguir a los usuarios cuando ingresan a dichos lugares.

A las víctimas les gustará mantener la puerta abierta para dar opciones al atacante, ya que se encuentran familiarizados con él.

El atacante también puede extraer respuestas a posibles preguntas como por ejemplo; Dónde conoció a su cónyuge, el nombre de su profesor de matemáticas de la escuela secundaria, etc.

RELACIONADOS:  Kali Linux para principiantes, ¿Qué es, cómo instalarlo y cómo usarlo?

Es más probable que los usuarios revelen posibles respuestas, ya que el atacante ha logrado generar confianza en ellos.

Circunstancias intimidantes

Las personas tienden a evitar a las personas que intimidan a los que les rodean. Con esta técnica, el atacante puede pretender tener una acalorada discusión por teléfono o con un cómplice del plan.

El atacante puede entonces pedir a los usuarios información que se utilizaría para comprometer la seguridad del sistema de los usuarios.

Lo más probable es que los usuarios den las respuestas correctas solo para evitar tener una confrontación con el atacante.

Esta técnica también se puede utilizar para evitar ser revisados en un punto de control de seguridad.

Phishing

Esta técnica utiliza engaños y trucos y para obtener los datos privados de los usuarios.

El ingeniero social puede intentar hacerse pasar por un sitio web genuino como Google o un banco de confianza, para luego pedirle al usuario desprevenido que confirme su nombre de cuenta y contraseña.

Esta técnica también puede utilizarse para obtener información de tarjetas de crédito o cualquier otro dato.

Tailgating

Esta técnica implica seguir a los usuarios por detrás cuando ingresan a áreas restringidas. Como cortesía humana, es probable que el usuario deje que el ingeniero social ingresar al área restringida.

Explotación de la curiosidad humana

Con esta técnica, el ingeniero social puede dejar caer deliberadamente un pendrive infectado con virus en un área donde los usuarios puedan recogerlo fácilmente.

Lo más probable, es que por la curiosidad del ser humano, algún usuario lo recoja y termine conectando el pendrive a una de las computadoras internas.

El pendrive puede ejecutar automáticamente el virus o el usuario puede tener la tentación de abrir un archivo con un nombre como Informe_Despidos.docx que en realidad va a ser un archivo infectado.

Explotación de la codicia humana

Con esta técnica, el ingeniero social puede atraer al usuario con promesas de ganar mucho dinero en línea al completar un formulario y confirmar sus datos utilizando los datos de la tarjeta de crédito, etc.

Contramedidas de ingeniería social

La mayoría de las técnicas empleadas por los ingenieros sociales implican manipular los prejuicios humanos

. Para contrarrestar tales técnicas, una organización puede:

  • Para contrarrestar el exploit por familiaridad, los usuarios deben estar capacitados para no entremezclar la familiaridad con las medidas de seguridad. Incluso las personas con las que están familiarizados deben acreditar que tienen la autorización para acceder a determinadas áreas e información.
  • Para contrarrestar los ataques de circunstancias intimidantes, los usuarios deben estar capacitados para identificar técnicas de ingeniería social que buscan información sensible y decir cortésmente que no.
  • Para contrarrestar las técnicas de phishing, la mayoría de los sitios como Google utilizan conexiones seguras para cifrar los datos y demostrar que son quienes dicen ser. Verificar la URL puede ayudar a detectar sitios falsos. Evita responder a correos electrónicos soliciten información personal.
  • Para contrarrestar los ataques de persecución, los usuarios deben estar capacitados para no permitir que otros usen su autorización de seguridad, cada usuario debe utilizar su propia autorización de acceso.
  • Para contrarrestar la curiosidad humana, es mejor enviar los pendrive perdidos a los administradores del sistema, quienes pueden escanearlos (en máquinas aisladas) en busca de virus u otras infecciones.
  • Para contrarrestar las técnicas que explotan la codicia humana, los empleados deben estar capacitados sobre los peligros y la posibilidad de de caer en tales estafas.

Resumen

  • La ingeniería social es el arte de explotar los elementos humanos para acceder a recursos no autorizados.
  • Los ingenieros sociales utilizan una serie de técnicas para engañar a los usuarios y lograr que revelen la mayor información confidencial posible.
  • Las organizaciones deben tener políticas de seguridad que tengan contramedidas de ingeniería social.
RELACIONADOS:  Aprender a ejecutar un envenenamiento por ARP (ejemplos)

Tutorial de criptografía: Criptoanálisis, RC4, CrypTool (Capítulo 5)
Habilidades necesarias para convertirte en hacker ético (Capítulo 3)

? Libro Hacking desde 0

? Herramientas Hacking ? Recursos Hacking

?‍♀️ Cursos Seguridad en Red ? Cursos RedesCursos Servicios en Nube ?‍♂️ Libros Seguridad y Criptografía ? Libros Redes

Relacionado

Guía para principiantes que desean convertirse en analistas de ciberseguridad

Diariamente, los analistas de ciberseguridad son responsables de mantener el software de seguridad, incluidos los firewalls y las herramientas de cifrado de datos. También investigan las brechas de seguridad y las reportan para ofrecer métricas de gestión. En comparación con otros trabajos de TI, la ciberseguridad es un sector relativamente nuevo. Esto indica que puedes seguir diferentes caminos para convertirse en analista en ciberseguridad. https://ciberninjas.com/criptografia-ofensiva-alfonso-munoz/ Por ¡SEGUIR LEYENDO!

Hackean la página web y el twitter del Real Madrid Club de Fútbol

Varios medios han informado de que esta mañana, han logrado acceder tanto a la página web como al twitter del Real Madrid Club de Fútbol. Ambas medios de comunicación oficiales del Club, publicaron una noticia falsa sobre la lesión de un jugador -en concreto Rodrygo- conjunto a un parte de lesiones falso. Es curioso, que quién se halla tomado las molestias para dicha acción, precisamenta eso ¡SEGUIR LEYENDO!

Amenazas potenciales de seguridad para los sistemas informáticos

Una amenaza al sistema informático es todo aquello que provoca la pérdida o corrupción de datos o daños físicos al hardware y / o la infraestructura. Saber cómo identificar las amenazas a la seguridad informática es el primer paso para proteger los sistemas informáticos: Las amenazas pueden ser intencionales, accidentales o causadas por desastres naturales. En este artículo, vamos a ver las amenazas más comunes de ¡SEGUIR LEYENDO!

Criptografía: Criptoanálisis, RC4, CrypTool

La información juega un papel vital en el funcionamiento de negocios, organizaciones, operaciones militares, etc. La información en las manos equivocadas puede conducir a la pérdida de negocios o resultados catastróficos. Para proteger la información, una empresa puede utilizar la criptología para cifrar la información. La criptología implica la transformación de la información a un formato legible no humano y viceversa. En este artículo, vamos a ¡SEGUIR LEYENDO!

¿Qué es la criptovirología?

La criptovirología es el estudio del uso de la criptografía en la producción de software malicioso. En una explicación algo más extensa, poríamos decir que la criptovirología es, la investigación sobre cómo se pueden utilizar los paradigmas y herramientas criptográficos modernos para fortalecer, mejorar y desarrollar nuevos ataques de software malicioso o malware. Los ataques de criptovirología se han diseñado para diversos casos de uso, entre ¡SEGUIR LEYENDO!

¿Cómo descifrar la contraseña de una aplicación o sistema informático?

El descifrado de contraseñas emplea una serie de técnicas para lograr sus objetivos. A lo largo del siguiente artículo vamos a conocer más sobre el descifrado, las técnicas que existen y las herramientas más utilizadas para ello. Si quieres conocer más sobre el cifrado y aprender como se realiza, no dudes en echar un ojo a la publicación sobre criptografía. ¿Qué es el descifrado de contraseñas? ¡SEGUIR LEYENDO!

Aprender a ejecutar un envenenamiento por ARP (ejemplos)

En este tutorial vamos a ver como se realiza un envenenamiento por ARP, pero antes de eso debemos de tener claros algunos conceptos que vamos a repasar a continuación. ¿Qué son las direcciones IP y MAC? Dirección IP es el acrónimo de dirección de Protocolo de Internet. Una dirección de protocolo de Internet se utiliza para identificar de forma única una computadora u otro dispositivo de ¡SEGUIR LEYENDO!

Salir de la versión móvil