¿Qué es la Ingeniería Social?

En seguridad informática, muchos problemas ocurren a pesar de los mejores esfuerzos del usuario. Por ejemplo, puede recibir malware de publicidad maliciosa en cualquier momento, realmente es mala suerte. Hay pasos que puede seguir para minimizar el riesgo, como usar un bloqueador de anuncios. Pero ser golpeado así no es culpa del usuario. Sin embargo, otros ataques se centran en engañar al usuario para que haga algo. Estos tipos de ataques se encuentran bajo el amplio estandarte de los ataques de ingeniería social.

La ingeniería social implica el uso del análisis y la comprensión de cómo las personas manejan ciertas situaciones para manipular un resultado. La ingeniería social se puede realizar contra grandes grupos de personas. Sin embargo, en términos de seguridad informática, normalmente se usa contra personas, aunque potencialmente como parte de una gran campaña.

Un ejemplo de ingeniería social contra un grupo de personas podrían ser los intentos de causar pánico como distracción. Por ejemplo, un ejército que realiza una operación de bandera falsa, o alguien que grita “fuego” en un lugar concurrido y luego roba en medio del caos. En algún nivel, la simple propaganda, los juegos de azar y la publicidad también son técnicas de ingeniería social.

Sin embargo, en seguridad informática, las acciones tienden a ser más individuales. El phishing trata de convencer a los usuarios para que hagan clic y vinculen e ingresen los detalles. Muchas estafas intentan manipular basándose en el miedo o la codicia. Los ataques de ingeniería social en la seguridad informática pueden incluso aventurarse en el mundo real, como intentar obtener acceso no autorizado a una sala de servidores. Curiosamente, en el mundo de la seguridad cibernética, este último escenario, y otros similares, suelen ser lo que se quiere decir cuando se habla de ataques de ingeniería social.

Ingeniería social más amplia – en línea

El phishing es una clase de ataque que intenta aplicar ingeniería social a la víctima para que proporcione detalles al atacante. Los ataques de phishing generalmente se entregan en un sistema externo, como por correo electrónico, por lo que tienen dos puntos distintos de ingeniería social. Primero, deben convencer a la víctima de que el mensaje es legítimo y hacer que haga clic en el enlace. Esto luego carga la página de phishing, donde se le pedirá al usuario que ingrese los detalles. Por lo general, este será su nombre de usuario y contraseña. Esto se basa en que el correo electrónico inicial y la página de phishing parecen lo suficientemente convincentes como para que el usuario confíe en ellos mediante ingeniería social.

Muchas estafas intentan hacer ingeniería social a sus víctimas para que entreguen dinero. La estafa clásica del “príncipe nigeriano” promete un gran pago si la víctima puede pagar una pequeña tarifa por adelantado. Por supuesto, una vez que la víctima paga la "tarifa", nunca se recibe ningún pago. Otros tipos de ataques de estafa funcionan con principios similares. Convencer a la víctima para que haga algo, normalmente entregar dinero o instalar malware. Ransomware incluso es un ejemplo de esto. La víctima necesita entregar dinero o corre el riesgo de perder el acceso a los datos cifrados.

Ingeniería social presencial

Cuando se hace referencia a la ingeniería social en el mundo de la seguridad cibernética, generalmente se refiere a acciones en el mundo real. Hay muchos escenarios de ejemplo. Uno de los más básicos se llama tail-gating. Esto es flotar lo suficientemente cerca detrás de alguien que mantienen abierta una puerta de acceso controlado para dejarte pasar. El seguimiento puede mejorarse configurando un escenario en el que la víctima pueda ayudarlo. Un método es pasar el rato con los fumadores afuera en un descanso para fumar y luego volver adentro con el grupo. Otro método es que se vea que lleva algo incómodo. Es más probable que esta técnica tenga éxito si lo que llevas puede ser para otros. Por ejemplo, si tiene una bandeja con tazas de café para “su equipo”, existe una presión social para que alguien le abra la puerta.

Gran parte de la ingeniería social en persona se basa en establecer un escenario y luego tener confianza en él. Por ejemplo, un ingeniero social puede hacerse pasar por una especie de trabajador de la construcción o de limpieza que generalmente se pasa por alto. Haciéndose pasar por un buen samaritano, entregar una memoria USB "perdida" podría resultar en que un empleado la conecte. La intención sería ver a quién pertenece, pero luego podría infectar el sistema con malware.

Estos tipos de ataques de ingeniería social en persona pueden ser muy exitosos, ya que nadie espera ser engañado de esa manera. Sin embargo, conllevan un gran riesgo para el atacante que tiene una posibilidad muy real de ser atrapado con las manos en la masa.

Conclusión

La ingeniería social es el concepto de manipular a las personas para lograr un objetivo específico. Una forma consiste en crear una situación que parezca real para engañar a la víctima para que la crea. También puede crear un escenario en el que exista una presión social o una expectativa de que la víctima actúe en contra de los consejos de seguridad estándar. Sin embargo, todos los ataques de ingeniería social se basan en engañar a una o más víctimas para que realicen una acción que el atacante desea que realicen.