Tecnología para los negocios - Medidas básicas frente a la ingenieria social


Podemos definir la ingeniería social como las acciones o técnicas empleadas por los ciberdelincuentes para engañar a los usuarios y administradores de las redes informáticas, impulsándolos a revelar cierta información de manera directa o indirecta.

Suele ser un mecanismo frecuente para iniciar un ciberataque a mayor escala o un método fácil de acceder a un sistema sin tener que hacer complejos desarrollos de malware.

La ingeniería social se basa en los siguientes principios:

  • Todos queremos ayudar: El ser humano siente la necesidad de apoyar el trabajo de otras personas.
  • Somos confiados: El usuario rara vez cuestionará para qué fin es la información, suponiendo que éste es siempre uno lícito.
  • No nos gusta decir no: Aunque se tenga desconfianza de la persona que nos solicita la información.
  • Nos gusta ser halagados: Cuando se proporciona una información se recibe un estímulo positivo que no nos hace ser objetivos ante quien nos la está solicitando.

Se pueden distinguir 2 tipos de ingeniería social:

La realizada directamente por las personas

Por medio de la manipulación y explotación de los sentimientos y emociones.

Para este tipo de ingeniería social todos los medios son válidos: No olvide que los atacantes utilizarán todos los medios a su alcance para lograr engañarle.

Para ello no dudarán en suplantar la identidad de una persona de nuestro entorno (física o telefónicamente) que nos genere confianza o nos coaccione.

Un ejemplo sencillo sería aquella llamada que nos hacen en un momento inoportuno, haciéndose pasar por un administrador de la red y comunicando que hay un problema grave en nuestro ordenador y que para resolverlo necesita el usuario y contraseña de nuestro ordenador.

Aunque le parezca increíble, mucha gente pica el anzuelo.

La realizada con computadoras:

El ataque más común es el llamado phishing en el que por medio de correos electrónicos o sitios web fraudulentos, el atacante intentará obtener información sensible, normalmente credenciales de acceso a sitios web como bancos, etc.

Para protegerse es necesario ser consciente de esta amenaza y seguir algunos consejos que le damos a continuación:

  • Remitentes desconocidos o inesperados: ignórelos, verifíquelos por otros medios y nunca conteste al correo ni abra ningún archivo adjunto
  • Sentido de urgencia que busca actuar de forma irreflexiva: desconfíe y nunca haga clic en ningún enlace (ni siquiera para darse de baja).
  • Solicitud de información confidencial y/o personal, como números de cuenta, números de tarjetas de crédito, contraseñas, etc.: nunca revele información sensible.
  • Direcciones de internet largas o extrañas, verifíquelas con un comprobador de direcciones cortas (p.ej. longURL).
  • Faltas de ortografía, errores gramaticales, suelen ser síntoma de haberse traducido de manera automática de otro idioma. Cuidado con los entornos en otros idiomas, nunca interprete el contenido de un mensaje que no entiende.

La ingeniería social existe. Esté prevenido

Referencias del documento:
Articulo refundido y modificado por la Subdelegación de Defensa en Navarra.
Artículo publicado en el Boletín de Concienciación del Mando Conjunto de Ciberdefensa.

Ministerio de defensa - Mando conjunto ciberdefensa
Mando Conjunto de Ciberdefensa Estado Mayor de la Defensa Ministerio de Defensa

Danos tu opinión

1 Estrella2 Estrellas3 Estrellas4 Estrellas5 Estrellas (No hay valoraciones)
Cargando...

¿Eres un proveedor de soluciones TIC y quieres aparecer en este portal?

¿Eres una empresa y no encuentras lo que estás buscando?


SUSCRÍBETE A NUESTRO BOLETÍN

Recibe, cada dos semanas, todas las novedades sobre las tecnologías de la información para empresas.