En la actualidad la gran mayoría de ataques cibernéticos no se deben a que haya fallos en el software de un dispositivo si no que hay un factor que hace que sea más fácil entrar en sistemas y obtener información sensible sobre usuarios y organizaciones.
Este factor es el ser humano ya que todos cometemos y podemos ser manipulados por otra persona para facilitarle información que no teníamos que facilitar. Esta técnica de manipulación se denomina INGENIERIA SOCIAL.
¿Qué es la Ingeniería Social?
Es una técnica de hacking muy utilizada en los últimos tiempos que consiste en manipular a una persona a través de métodos psicológicos y de habilidades sociales con el fin de obtener información sensible del objetivo.
¿Por qué se utiliza esta técnica?
Podemos clasificar la informática en varios puntos
-
- Internet
- Usuario
- Software
- Hardware
- Inteligencia Artificial
Como se puede ver el usuario está marcado en rojo y esto se debe a que es el eslabón más débil de la clasificación porque, al fin y al cabo, no somos máquinas y podemos cometer errores y así es más fácil obtener información que intentando penetrar un sistema.
Ejemplo: tenemos una empresa de la que queremos obtener información sobre ella ¿Cuál crees que será el recorrido más fácil y rápido?
Como observáis en los ejemplos el recorrido A es más rápido y sencillo por esta razón la ingeniería social está teniendo mucho éxito en el mundo del hacking.
Tipos de ataques:
-
- Phishing: se basa en mandar correos electrónicos falsos o mensajes de texto masivos con el fin de que un usuario clique en el enlace del correo o SMS para robar información confidencial.
- Spear-Phishing: similar al anterior solo que en este tipo de ataque el correo o SMS se redacta exclusivamente para un usuario y no es masivo.
- Cara a cara: es una técnica que requiere de una persona con grandes habilidades sociales pues debe de hablar con la víctima en persona para intentar que nos facilite información personal o sobre su empresa.
- Shoulder Surfing: esta técnica se utiliza cuando el ciberdelincuente literalmente mira por encima del hombro para intentar observar el pin de desbloqueo, algún usuario y contraseña… de algún dispositivo.
- Baiting: consiste en infectar una memoria USB para que el usuario la utilize y así conseguir infectar su ordenador.
- Dumpster Diving: se da cuando una empresa o usuario arroja a la basura documentos que contengan información sensible, a continuación el “hacker” busca esos documentos para intentar sacar la mayor información posible.
- Tailgating: consiste en evadir controles de acceso a una empresa sin autorización.
- Pretexting: consiste en crear un escenario real y creíble en el que el usuario a hackear le dé acceso a su ordenador o a su espacio de trabajo con el fin de instalarle malware o robarle información.
- Redes sociales: los usuarios publican muchísima información en las redes sociales como puede ser nombre y apellidos, dirección postal, correo electrónico, hobbies…. Y los ciberdelincuentes utilizan esta información por ejemplo para realizar un Spear-Phising como hemos mencionado anteriormente.
- Vishing: trata de hacer llamadas falsas simulando ser bancos, empresas de servicios… para intentar robar información personal.
-
- Medidas para intentar protegernos
Al igual que existen ataques cibernéticos también hay maneras para intentar evitar ser hackeados o por lo menos reducir en grandes creces las posibilidades de éxito del ciberdelincuente. Veamos algunos ejemplos:
-
- Verificar el nombre de dominio: en las técnicas de Phishing normalmente dentro del correo o SMS se incluye un enlace que nos redirigirá a la supuesta página que se supone es legítima, nosotros deberíamos de comprobar realmente de dónde es ese dominio, una manera de hacerlo es clicando en el candado de HTTPS y ver el certificado para saber qué entidad lo recibió.
-
- Verificación en dos pasos: casi todas las páginas y redes sociales ofrecen el servicio de verificación en dos pasos que consiste en tener un pin o código aparte de la contraseña, por lo que al ingresar la contraseña nos solicita a continuación el pin o código que hallamos puesto anteriormente, así si un hacker consigue nuestra contraseña no podrá acceder sin el pin o código.
Ejemplo con Facebook
-
- No utilizar la misma contraseña: otra manera de evitar que nos roben información es tener contraseñas distintas en todas las plataformas que utilicemos para así si nos roban una contraseña que solo puedan acceder a una plataforma y no a todas.
- Credenciales: evitar ingresar nuestras credenciales en un lugar público donde alguien pueda vérnoslas.
-Mouad Tenbihi-