Hoy tratamos un tema interesante y más presente en nuestro día a día de lo que pensamos. Imagínate que tu jefe te pide que autorices un presupuesto o que le des acceso a información confidencial. ¿Qué vas a hacer? Pues claro, lo que te pide. ¡Sorpresa! ¡No es tu jefe! En realidad, es un hacker con malas intenciones. Si haces lo que te pide, puedes perder tu puesto de trabajo y ocasionar grandes problemas a tu compañía.
La ingeniería social se utiliza como método para llevar a cabo un ciberataque engañando o abusando de la buena fe de las personas. Un ciberdelincuente tratará de usar la manipulación, para conseguir que sus víctimas descarguen un archivo malicioso, que hagan clic en un enlace cuando no deberían o incluso que revelen información personal, credenciales o datos confidenciales.
Tipos de ingeniería social y ejemplos
Cuando la ingeniería social se enfoca en una misma víctima y para lograr el objetivo, se comunica las veces que haga falta con ella, se llama hacer Farming. Sin embargo, cuando los ataques son mediante comunicaciones en masa y, normalmente, haciéndose pasar por grandes compañías, se llama hacer Hunting.
Seguro que te gustará saber que el método de ataque favorito de los ciberdelincuenteses la ingeniería social a través de correo electrónico. Pero hay muchos tipos de mensajes que se suelen utilizar:
- Correos para que te descargues algún programa maligno, muy típicos.
- Mensajes que buscan tu clic en un enlace hacía una página falsa.
- El famoso “phishing”. Por ejemplo: parece un correo de tu banco y puedes rellenar algún espacio con tus datos solicitados y en realidad, solo los quiere el ciberdelincuente.
- Cuando se hace una suplantación y normalmente es a tu empresa o a un superior/compañero de trabajo, se llama “spoofing”. ¡Mucho cuidado!
- Si la suplantación se realiza a través de una llamada telefónica entonces hablamos de “vishing”. Previamente es necesario haber robado información personal a través de internet.
- La ingeniería social también se utiliza a través de aplicaciones como WhatsApp o en mensajes de texto SMS, estos casos se denominan “smishing”. Es popular que los delincuentes se hagan pasar por bancos o que incluyan enlaces a webs fraudulentas.
¿Cómo suelen manipular a sus víctimas?
Ahora repasamos los métodos de engaño más utilizados, a la hora de ciberatacar con ingeniería social. Desconfía de cualquier petición sospechosa y presta atención a estos ejemplos:
- Se hacen pasar por un compañero de la empresa que solicita ayuda.
- Con contenido privado o sin él, amenazan con difundirlo si no se paga una suma de dinero.
- Simulan ser una autoridad para la persona, en la vida personal o laboral.
- Suplantan algún servicio contratado en el pasado y dicen que necesitan tus datos para cambiar algo o por las nuevas políticas de servicio.
- Ofrecen algo gratis a cambio de información personal y suelen utilizar el correo electrónico, SMS, o ventanas emergentes de sitios web maliciosos.
Los ciberdelincuentes suelen encontrar en los empleados la primera puerta de entrada a las empresas, porque tal y como hemos visto anteriormente, el concepto de autoridad o explotar la caridad de los demás son tácticas que suelen funcionar bien. Por ello, es recomendable concienciar sobre los peligros, para que las personas sean una barrera solida de defensa. Para conseguirlo es popular hacer campañas de concienciación en ciberseguridad dentro de las empresas, para los empleados e incluso también para sus familiares.
Si cualquier persona de la organización es capaz de abrir un email falso y descargar archivos comprometidos ¿de qué sirve tener las mejores herramientas tecnológicas? Aquí tenéis un ejemplo de cómo solucionar la falta de cultura en ciberseguridad dentro de una organización.