Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 34-37 Dossier 4 Ingenieria Socialc

    Cargado por

    David.Viera
    113 vistas4 páginas

    Título original

    34-37 Dossier 4 Ingenieria socialC_(1)

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    113 vistas4 páginas

    34-37 Dossier 4 Ingenieria Socialc

    Cargado por

    David.Viera

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 4

    34 DOSSIER Harvard Deusto Márketing y Ventas

    Ingeniería social:
    cuando las personas son
    la mayor amenaza
    DOSSIER 35

    La práctica de obtener información confidencial a través de la


    manipulación de usuarios legítimos se conoce como “ingeniería social”,
    y en ella cualquier treta es válida para lograr que la “víctima” tienda al
    atacante un puente hacia sus datos. Como profesionales del márketing,
    nos interesa dar respuesta a una serie de preguntas: ¿cuáles son las
    últimas técnicas de ingeniería social y hasta dónde llegan los métodos
    utilizados por los delincuentes? ¿De qué fases consta un ataque de
    ingeniería social y qué consecuencias puede tener para nuestro negocio?

    M
    José Antonio Rubio
    Director del Programa Superior de Ciberseguridad
    en ICEMD-Instituto de la Economía Digital de ESIC

    uchos sistemas in- trónicos y demás formas de comunicación on-


    formáticos adole- line. La ingeniería social, o human hacking, es
    cen de brechas de una técnica de “hackeo” utilizada para sustraer
    seguridad que los información (contraseñas, cuentas bancarias
    atacantes pueden o cualquier dato privado que pudiera ser de in-
    hacer públicas o terés) a otras personas teniendo como base la
    explotarlas para interacción social, de tal manera que la persona
    su propio benefi- vulnerada no se dé cuenta de cómo o cuándo
    cio. En uno u otro caso, los ciberdelincuentes dio todos los datos necesarios para terminar
    necesitan invertir una cantidad considerable siendo la víctima de un ataque informático.
    de tiempo para poder atacar con éxito su obje- La ingeniería social es tan vieja como el
    tivo. Por tanto, ¿por qué no plantearse atacar mundo, y, por desgracia, se ha convertido en
    algo más sencillo, por ejemplo, la “tecnología uno de los métodos más efectivos para vulnerar
    humana”? Dicho de otro modo, ¿para qué in- sistemas informáticos. En esta práctica se re-
    vertir esfuerzos desmedidos en atacar a la tec- curre, principalmente, a la manipulación de la
    nología si detrás de los sistemas hay personas psicología humana mediante el engaño. Un
    que pueden ser engañadas de forma aún más ingeniero social sabe qué botones pulsar para
    fácil? Y esto es lo que ha sucedido en los últimos conseguir que un usuario caiga en su trampa.
    años, ya que la llamada “ingeniería social” ha Se inventa un contexto o una historia total-
    ganado fuerza entre los hackers gracias al cre- mente creíble que le permite controlar la inte-
    cimiento de las redes sociales, los correos elec- racción con la víctima. Llegados a este ➤ ➤ ➤
    36 DOSSIER Harvard Deusto Márketing y Ventas

    ➤ ➤ ➤ punto, quizá tendríamos que pregun- que está intentando obtener información ha-
    tarnos qué es lo que lleva a que los seres huma- ciéndonos preguntas y halagos bien dirigidos?
    nos seamos tan vulnerables ante el engaño. En el ámbito profesional también se dan, por
    Sería muy extenso, y complicado, exponer en desgracia, situaciones de este tipo. Ejemplos
    profundidad este tema, pero podemos abordar reales ocurridos en nuestro país podrían pare-
    algunos puntos al respecto de forma sucinta. cer sacados de una película, pero la realidad
    Uno de los ingenieros sociales más famosos de siempre supera a la ficción. Expongamos solo
    los últimos tiempos, Kevin Mitnick, afirma que uno: el caso en el que un atacante conocía la
    la ingeniería social se sostiene en estos cuatro reciente jubilación de una persona de cierto
    principios: departamento tras haberlo averiguado “hac-
    keando” los correos electrónicos de varios de
    • TEodos queremos ayudar. sus compañeros. ¿Los siguientes pasos del ci-
    • zal primer movimiento es siempre de confian-
    hacia el otro.
    berdelincuente? Enviar un correo electrónico
    haciéndose pasar por la persona jubilada, ad-
    • NAotodos
    nos gusta decir “no”. juntando fotos y videos en los que se le veía es-
    •  nos gusta que nos alaben. tar pasándoselo muy bien en su nueva etapa
    vital. Sus antiguos compañeros no dudaron de
    Por tanto, y teniendo en cuenta estas condi- la veracidad de los documentos, por lo que ac-
    ciones como punto de partida, ¿cómo podemos cedieron a los archivos sin saber que, automá-
    protegernos ante un “lobo disfrazado de oveja” ticamente, sus equipos estaban quedando
    comprometidos.

    La ingeniería social es DEL ‘PHISHING’ AL ‘SCAM’


    tan vieja como el mundo, La efectividad del proceso de ataque reside en
    cómo el hacker logra apropiarse de la información
    y, por desgracia, se ha recibida, algo que, en muchas ocasiones, como
    convertido en uno de los en el ejemplo anterior, parece trivial. La inge-
    métodos más efectivos niería social afecta a todos, pero los estafadores
    la utilizan cada vez más para atacar a las gran-
    para vulnerar sistemas des corporaciones y a las pymes: 2014 se des-
    informáticos cribió como el año en que los cibercriminales
    pasaron al sector empresarial. Perfiles falsos
    de marcas como Zara en Facebook, promocio-
    nes fraudulentas, mensajes directos a través de
    Twitter o estafas masivas en WhatsApp, apro-
    vecharse de las aplicaciones o juegos de moda…
    Sin duda, el aumento en el uso de las redes so-
    ciales con objetivos profesionales hace de ellas
    elementos atractivos para la ingeniería social,
    ya que proveen de mucha información al ciber-
    delincuente. Pero ¿cuáles son las técnicas de
    ingeniería social más empleadas?:

    ▶ ‘PHISHING’. Destaca por ser la más uti-


    lizada. Consiste en suplantar la identidad de
    una persona u organización para que se abran
    archivos maliciosos, para que entren en una
    website falsa o para que la víctima revele direc-
    tamente información confidencial. Un e-mail
    de phishing se puede enviar a millones de usua-
    rios a la vez. Aunque solo caiga en sus redes un
    grupo reducido de personas, los beneficios pa-
    ra el atacante pueden ser enormes. Un ejemplo
    ciberseguridad, clave para un márketing excelente
    DOSSIER 37

    sería el ya comentado del envío de falsos co-


    rreos electrónicos. Fases de un ataque
    ▶ ‘VISHING’. Realizar llamadas telefónicas De forma general, podríamos indicar que las fases de las que consta un ataque de
    encubiertas bajo encuestas con las que también ingeniería social son las siguientes:

    se podría sacar información personal de forma 1. Estudio de la víctima. El ciberdelincuente analiza los posibles puntos débiles
    que la víctima no sospeche. del colectivo o persona individual a atacar. Por ejemplo, personas de cierta edad o de
    cierto rango social que, en períodos festivos, realizan compras de forma intensiva en
    establecimientos online. U otras personas que, por su trabajo, están especialmente
    ▶ ‘BAITING’. El atacante carga unidades de
    interesadas en una información específica o que en ciertos períodos del año viajan
    USB con malware y luego simplemente espera
    mucho más, etc.
    que el usuario las conecte a su máquina.
    2. Aproximación a la víctima. En Navidad, un atacante supondrá que muchas
    personas se encuentran esperando recibir algún pedido vía empresas de mensajería.
    ▶ ‘QUID PRO QUO’. O “algo por algo”. El
    Por tanto, si enviase correos falsos haciéndose pasar por alguna de las grandes em-
    atacante llama a números aleatorios en una presas de ese sector, sería plausible suponer que un elevado porcentaje de usuarios
    empresa, alegando estar llamando desde el so- abriría dicho mensaje con la inocente intención de conocer el estado de su paquete.
    porte técnico. Esta persona informará a alguien
    3. Lanzamiento del ataque. Aunque, en la fase anterior, el ataque ya podría
    de un problema legítimo y se ofrecerá a ayudar-
    tener éxito en su totalidad, hay ocasiones en las que se requiere elaborar la táctica
    le, pero durante el proceso conseguirá los datos un poco más. En este caso hablamos, sobre todo, de ataques dirigidos a personas
    de acceso y lanzará un malware. específicas. Así, un ciberdelincuente podría ir construyendo una historia de relación
    con el usuario, dando forma a un argumento sólido que haría pensar a la víctima que
    ▶ ‘SCAM’. Sitio web modificado con fines dicha interacción es perfectamente normal.
    maliciosos, como el que se creó cuando se uti-
    lizó la estética de la gira de los Rolling Stones
    para establecer un sitio que prometía entradas
    gratis a cambio de clics en Facebook.
    a un atacante que, de alguna forma más o menos
    Evidentemente, estas técnicas también pue- sofisticada, está intentando acceder a nuestra
    den ser empleadas a través de los teléfonos mó- información. Por tanto, cualquier correo electró-
    viles, montando los hackers ataques similares nico sospechoso, llamadas que nos exigen saltar-
    a los enviados vía correo electrónico. Y, por su- nos algún procedimiento organizativo, etc. deben
    puesto, aunque sobrepasa el ámbito de este ar- ponernos en guardia.
    tículo, la ingeniería social también es empleada Merece la pena ser precavidos y trasladar el
    en política, estrategia militar, etc. En definitiva, sentido común que se aplica en el ámbito físico
    atacar al eslabón más débil de la cadena es una a este otro dominio de la realidad. En caso con-
    estrategia óptima, sea cual sea el contexto en trario, los efectos a sufrir, esto es, los impactos
    el que nos encontremos. en los negocios, pueden resultar muy graves:
    hablamos principalmente de pérdida de infor-
    CON SENTIDO COMÚN mación confidencial, de pérdida económica y
    Ante estas amenazas es primordial emplear el de daños reputacionales. La pérdida de infor-
    sentido común, recelando de cualquier actividad mación sensible tiene lugar al haber facilitado
    que nos parezca sospechosa o inusual. Esa es la la entrada del atacante a nuestros sistemas; por
    verdadera clave, más allá de cualquier solución ejemplo, abriendo un archivo malicioso, lo cual
    tecnológica. Independientemente de nuestro rol puede generarnos impactos administrativos
    profesional, somos los garantes de la información negativos derivados del incumplimiento de nor-
    que manejamos en nuestro ámbito profesional, mas legales. De igual modo, las estafas son fre-
    por lo que se requiere una mínima diligencia. Hay cuentes al producirse transferencias bancarias
    un principio a seguir para detectar si somos po- ilegítimas o extorsión derivada del robo de in-
    sibles víctimas de este tipo de ataques: cualquier formación. Y, qué duda cabe, todos estos esce-
    elemento que salga de la cotidianidad, o que nos narios confluyen en un impacto reputacional,
    haga sospechar levemente, debe hacer que se ac- ya que la sociedad y el mercado perciben como
    tiven nuestras alarmas. En el ciberespacio no una falta de diligencia el que una organización “Ingeniería social: cuando
    debemos entrar en disquisiciones racionales; si sea atacada con éxito a través de estos meca- las personas son la mayor
    amenaza”. © Planeta
    algo no nos cuadra, es muy probable que esconda nismos. ■ DeAgostini Formación, S.L.

    También podría gustarte