La Ingeniería Social

Según Wikipedia:

La Ingeniería social es la práctica de obtener información Confidencial a través de la manipulación de usuarios legítimos.

Por ende de puede decir que el principio que sustenta la ingeniería social es que en cualquier sistema "los usuarios son el eslabón débil"

Existen diversas formas de utilizar y aplicar lo que se conoce como ingeniería social pero los escenarios donde más son utilizados hoy en día son en el fraude, intrusión de una red, espionaje, etc. para ello existen diversas técnicas como las siguientes:

Pretextos:

Es en donde se inventa un escenario para llevar a la víctima a revelar información personal. A menudo suele llevar una investigación previa del objetivo, como conocer su nombre completo, fecha de nacimiento, nombre de mascotas, etc. Otras solamente basta con hacerle creer que es legítimo.


Redes sociales:


Hoy en día la importancia que las personas ponen en Compartir momentos, fotos familiares, situaciones sentimentales, etc. conlleva a que muchas personas con o sin conocimiento revele mucha información personal y sensible en forma constante, lo cual, provee de mucha información a un delincuente que puede usar esa información para conseguir passwords hasta un robo de identidad.

Phishing:


El Phishing (o pesca) es uno de los ataques más simples y efectivos a la vez. Este método consiste en engañar a la víctima llevándolo a pensar que un administrador del sistema esta solicitando datos o bien hasta la clonación de una página web o parte de ella para así poder obtener usuarios y contraseñas, números de tarjetas de crédito etc.
Otro ejemplo de ataque por phisihing es el uso de envío de archivos adjuntos mediante correo como puede ser fotos de desnudez, programas gratis, licencias de antivirus, promociones de regalos de alguna tienda de indumentaria, etc que al descargarlo ejecutan código malicioso.

Estas 3 técnicas anteriormente mencionadas son de las más comunes y utilizadas hasta el día de hoy, ninguna es más efectiva que otra ya que el factor importante esta en que la víctima crea que la mentira es Real.


Como prevenir estos ataques?

Existen unas medidas básicas de prevención ante estos ataques (sin volvernos unos paranoicos por la seguridad )

1) Verificar que las páginas que visitamos sean legítimas mirando que la dirección de la misma no tenga algún carácter de más o menos. Si los certificados de la página están presentes y sin válidos siendo estos HTTPS.

2) No dar ningún dato personal, bancario, etc. por telefono. En caso de recibir una llamada del Banco (supuesto o Real) no dar información. Para eso tienen sucursales por lo que es más seguro dirigirse a una de ellas para realizar cualquier operación o actualización de datos.

3) No descargar archivos adjuntos si el remitente es desconocido. En caso de sospechar o no tener la seguridad de su procedencia podría ser ejecutado en un SandBox.

4) En cuanto a las redes sociales no agregar a desconocidos o en caso de hacerlo verificar la configuración de seguridad para determinar que tipo de información es visible para cierto usuario.

5) Lo más importante...Nunca se sabe quien esta del otro lado!!!.


Saludos.

Fuente: Wikipedia, propia.