Documentos de Académico
Documentos de Profesional
Documentos de Cultura
protejo?
Compartir en
redes sociales
Compartir en Facebook
Compartir en Twitter
Compartir en Linkedin
Compartir en Whatsapp
Compartir en Telegram
Se llama ingeniería social a las diferentes técnicas de manipulación que usan los
ciberdelincuentes para obtener información confidencial de los usuarios.
Los ciberdelincuentes engañan a sus víctimas haciéndose pasar por otra persona.
Por ejemplo, se hacen pasar por familiares, personas de soporte técnico,
compañeros de trabajo o personas de confianza. El objetivo de este engaño es
apropiarse de datos personales, contraseñas o suplantar la identidad de la
persona engañada.
¿Qué canales utilizan los ciberdelincuentes para los ataques de ingeniería social?
Los ciberdelincuentes manipulan y engañan a las personas a través de:
Llamadas telefónicas,
Correos electrónicos,
Redes sociales.
¿Qué métodos pueden utilizar los ciberdelincuentes para cometer sus ataques?
Se planifica el ataque
Los atacantes detallan y planifican cómo pretenden ejecutar el
ataque.
Se ataca
Aprovechando las debilidades del sistema informático que se ha
determinado como objetivo, se pasa a ejecutar las herramientas
recopiladas buscando las posibles vulnerabilidades existentes.
Circunstancias intimidantes
Las personas tienden a evitar a las personas que intimidan a los
que les rodean. Con esta técnica, el atacante puede pretender
tener una acalorada discusión por teléfono o con un cómplice del
plan.
Phishing
Esta técnica utiliza engaños y trucos y para obtener los datos
privados de los usuarios.
Tailgating
Esta técnica implica seguir a los usuarios por detrás cuando
ingresan a áreas restringidas. Como cortesía humana, es probable
que el usuario deje que el ingeniero social ingresar al área
restringida.
Baiting
Vishing o pretexting
Smishing
Una vez que se cae en las redes de un ingeniero social, puede ser difícil
librarse de ellas. Las técnicas de la ingeniería social están diseñadas
para sacar provecho de los rasgos humanos como la curiosidad, la
confianza y la voluntad de ayudar de sus víctimas. De modo que la mejor
manera de protegerse es ser más desconfiado dentro del entorno
online.
1. Investiga la fuente
Descripción
Plataformas compatibles:
linux
Mac OS X (experimental)
Instalación
Instalar a través de requirements.txt
=======
Mac OS X
Instalación
linux
CONJUNTO Tutorial
Errores y mejoras
Ejemplos de ingeniería social
Una buena manera de hacerse una idea de las tácticas de ingeniería social a las
que debe prestar atención es conocer las que se han utilizado en el pasado.
Tenemos todos los detalles en un extenso artículo sobre el tema, pero de
momento vamos a centrarnos en tres técnicas de ingeniería social,
independientes de las plataformas tecnológicas, que han tenido mucho éxito para
los estafadores.
1. Phishing, como ya hemos dicho, que también incluye el smishing basado en texto
y el vishing basado en voz. Estos ataques suelen ser de bajo esfuerzo pero de
gran difusión; por ejemplo, un phisher puede enviar miles de correos electrónicos
idénticos, con la esperanza de que alguien sea lo suficientemente crédulo como
para hacer clic en el archivo adjunto.
2. El spear phishing, o whaling, es una variante de phishing "de alto contacto" para
objetivos de alto valor. Los atacantes dedican tiempo a investigar a su víctima, que
suele ser una persona de alto estatus con mucho dinero de la que pueden
separarse, para elaborar comunicaciones de estafa únicas y personalizadas.
3. El cebo es una parte clave de todas las formas de phishing y también de otras
estafas: siempre hay algo para tentar a la víctima, ya sea un texto con la promesa
de una tarjeta de regalo gratuita o algo mucho más lucrativo o lascivo.
4. El pretexto consiste en crear una historia, o pretexto, para convencer a alguien de
que entregue información valiosa o acceso a algún sistema o cuenta. Un pretexto
puede conseguir encontrar algunos de sus datos personales y utilizarlos para
engañarle; por ejemplo, si sabe qué banco utiliza, puede llamarle y decir que es un
representante de atención al cliente que necesita saber su número de cuenta para
ayudarle con un pago atrasado. O bien, podrían utilizar la información para
imitarle: esta fue la técnica utilizada por los investigadores privados de HP de la
que hablamos anteriormente.
5. Los fraudes por correo electrónico comercial combinan varias de las técnicas
anteriores. Un atacante se hace con el control de la dirección de correo electrónico
de la víctima o se las arregla para enviar correos electrónicos que parezcan
proceder de esa dirección, y luego comienza a enviar correos electrónicos a los
subordinados en el trabajo solicitando la transferencia de fondos a las cuentas que
controlan.
Pero no sólo el empleado medio debe ser consciente de la ingeniería social. Como
hemos visto, los ingenieros sociales se centran en objetivos de gran valor,
como los directores generales y los directores financieros. Los altos cargos a
menudo se resisten a asistir a los cursos de formación que se imparten a sus
empleados, pero necesitan ser conscientes de estos ataques más que nadie.
Para crear una presión adicional, el atacante mencionará que el informe fue
solicitado por primera vez en un correo electrónico anterior ficticio, haciendo creer
al destinatario que ha perdido un correo electrónico y que no ha completado una
tarea importante. "Esta es una forma muy eficaz de generar urgencia para
responder, especialmente en un entorno de trabajo remoto", dice Chapman.
Además, los atacantes aprovechan cada vez más los halagos para animar a
los destinatarios a hacer clic en sus enlaces maliciosos. "Una tendencia
sorprendente que hemos visto es la de los hackers que envían tarjetas de
cumpleaños. Los atacantes pueden utilizar OSINT para averiguar cuándo es el
cumpleaños de su víctima y enviar un enlace para 'ver una tarjeta electrónica de
cumpleaños' que en realidad es un enlace de phishing armado. A menudo, el
destinatario no sospecha que se trata de un ataque de phishing, porque está
demasiado ocupado sintiéndose halagado por haber recibido una tarjeta en su
cumpleaños".
Según el CISO de Neosec, Renan Feldman, la mayoría de los ataques de
ingeniería social hoy en día aprovechan las APIs expuestas. "La mayoría de los
atacantes buscan el acceso a esas APIs más que el acceso a un dispositivo o a
una red, porque en el mundo actual el negocio se desarrolla en plataformas de
aplicaciones. Además, vulnerar una API es mucho más fácil que penetrar en una
red empresarial y desplazarse lateralmente para hacerse con la mayoría o todos
los activos clave de la misma. Por lo tanto, en los próximos dos años, es
probable que veamos un aumento de la extorsión individual a través de las
API. Con cada vez más datos empresariales moviéndose hacia las API, las
organizaciones están reforzando sus controles antiransomware."