¿Qué es?
La Ingeniería Social es un acto mediante el cual una persona es manipulada a través de técnicas psicológicas y habilidades sociales con un objetivo específico como obtener información personal para así ganar dinero o realizar actividades ilícitas a nombre de alguien más.
Esta técnica no es válida solamente para una persona, sino también para obtener información de una empresa ya que todas las empresas siempre cuentan con el factor humano en su infraestructura y la Ing. social se sustenta en un principio sencillo “el eslabón más débil es el usuario”, porque aunque una computadora desconectada es segura, siempre es posible convencer a alguien que la conecte.
La ingeniería social por este motivo también puede ser conocida como un arte que se vale del engaño y la confusión para conseguir los objetivos de quien la practica
¿Quienes lo practican?
Esta actividad es practicada principalmente por criminales, investigadores y delincuentes informáticos, aunque puede ser practicada casi por cualquier persona, ya que solamente se necesita conocer un poco la psicología de las personas
Entre los casos más famosos de este tipo, se encuentra el de los hermanos badir, quienes en los 90’s lograron ganar millones de dólares al obtener acceso al servicio de telefonía de la milicia israelí y de esta manera ofrecían un servicio que no manejaban ellos, estaba fuera de cualquier vigilancia y era sumamente seguro, lo más impresionante de este fraude fue que los hermanos eran ciegos y solamente utilizaron su oído, conocimientos en seguridad y la ingeniería social para obtener las claves y toda la información que necesitaron para llevar a cabo esta actividad.
Algunos ataques
-Ataque por teléfono: Es la forma más persistente de Ingeniería Social. En ésta el perpetrador realiza una llamada telefónica a la víctima haciéndose pasar por alguien más, como un técnico de soporte o un empleado de la misma organización. Es un modo muy efectivo, pues las expresiones del rostro no son reveladas y lo único que se requiere es un teléfono.
-Ataque vía Internet: Desde que se creo el internet esta plataforma esta siendo utilizada por cada vez mas personas de cualquier parte del mundo y con cualquier grado de instruccion, lo que la ha convertido en la plataforma mas eficaz para usar la ingenieria social y sacar ventaja de las deficiencias en conocimiento que tienen las personas que la utilizan. en la mayoria de los casos solemos ser muy confiados y no miramos mas alla del horizonte para dar a conocer informacion personal, uno de los metodos mas usados en internet para atentar con la seguridad de las personas y robar informacion es:
El phishing: El termino phishing se refiere a una actividad mediante la cual el delincuente informático utiliza el Internet y la ingeniería social para robar información de su victima mediante correo electrónico o algún otro medio, ¿De que manera? La forma de llevar a cabo esta actividad es enviando un correo electrónico a la victima pidiendo datos personales con la promesa de una promoción o un regalo, y de esta manera se obtienen todos los datos necesarios para realizar una estafa o robo
-Dumpster Diving o Trashing: Consiste en buscar información relevante en la basura, como: agendas telefónicas, organigramas, agendas de trabajo, unidades de almacenamiento (CD’s, USB’s, etc.), entre muchas otras cosas.
-Ataque vía SMS: Ataque que aprovecha las aplicaciones de los celulares. El intruso envía un mensaje SMS a la víctima haciéndola creer que el mensaje es parte de una promoción o un servicio, luego, si la persona lo responde puede revelar información personal, ser víctima de robo o dar pié a una estafa más elaborada.
-Ataque vía correo postal: Uno de los ataques en el que la víctima se siente más segura, principalmente por la fiabilidad del correo postal. El perpetrador envía correo falso a la víctima, tomando como patrón alguna suscripción de una revista, cupones de descuento, etc. Una vez que diseña la propuesta para hacerla atractiva, se envía a la víctima, quien si todo sale bien, responderá al apartado postal del atacante con todos sus datos.
-Ataque cara a cara: El método más eficiente, pero a la vez el más difícil de realizar. El perpetrador requiere tener una gran habilidad social y extensos conocimientos para poder manejar adecuadamente cualquier situación que se le presente.
-En este caso podemos encontrar un tema interesante:
Psicología del engaño
¿Para qué algo sea social que se necesita? Personas, y la manera que usa esta técnica para atacar a la víctima no es más que la psicología, y en este caso se utilizan los sentimientos para vulnerar a la persona
- Confianza: solemos ser muy confiados al momento de hablar con alguien en la calle o en cualquier lugar porque no esperamos que sea una mala persona con malas intensiones
- Deseo de ayudar: por ejemplo la típica situación de “oye puedes dejarme pasar, olvide mi carnet”, y la persona por solamente ayudar deja que la persona acceda e un lugar restringido
- Miedo: “oye déjame pasar o mañana pierdes el trabajo porque voy tarde a una reunión”
- Reciprocidad: tú me ayudas hoy y mañana yo a ti
- Atracción: siempre existe la persona que se aprovecha de su físico o del hecho que atrae a alguien, para sacar información personal o de interés y de esta manera obtener beneficios
- Evitar problemas: la persona que se molesta por que no dejas entrar a un lugar o llevarse alguna cosa y prefieres “evitar problemas” antes de hacer tu trabajo, de esta manera lavarse las manos por si algo pasara
Entornos psicológicos y sociales que pueden influir en que un ataque de ingeniería social sea exitoso
- Crear una situación hostil: El ser humano siempre procura alejarse de aquellos que parecen estar locos o enojados, o en todo caso, salir de su camino lo antes posible. Crear una situación hostil justo antes de un punto de control en el que hay vigilantes, provoca el suficiente estrés para no revisar al intruso o responder sus preguntas.
- Leer el lenguaje corporal: Un ingeniero social experimentado puede hacer uso y responder al lenguaje corporal. El lenguaje corporal puede generar, con pequeños, detalles una mejor conexión con la otra persona. Respirar al mismo tiempo, corresponder sonrisas, ser amigable, son algunas de las acciones más efectivas. Si la víctima parece nerviosa, es bueno reconfortarla. Si está reconfortada, ¡al ataque!
- Explotar la sexualidad: Técnica casi infalible. Las mujeres que juegan con los deseos sexuales de los hombres, poseen una gran capacidad de manipulación, ya que el hombre baja sus defensas y su percepción. Probablemente suene asombroso, pero es aprovechar la biología a favor.
Otro factor que influye en la actualidad
Mal uso de redes sociales: en la actualidad estamos tan acostumbrados a usar las redes sociales que es, en algunos casos, el único espacio donde nos comunicamos libremente con las demás personas, y por este motivo muchas veces revelamos información valiosa sin darnos cuenta, y de esta manera le hacemos muchísimo más fácil al ingeniero social llevar a cabo su tarea de robo o estafa
¿Como defenderse?
- No divulgar demasiada información personal en lugares públicos ni redes sociales, porque esto es de mucho provecho para aquellos que están acechando conseguir algo
- Si se sospecha que alguna persona está intentando realizar alguna actividad de este tipo, pedir que se identifique y obtener la mayor cantidad de información posible mientras dure el encuentro, si nos fiamos en el lenguaje corporal y la coherencia de sus palabras tal vez podemos saber si se trata de una situación irregular o no
- Información y documentos personales importantes deben ser eliminados si no se utiliza
- Ser un poco paranoicos y no confiar en todo el mundo
- Llevar a cabo programas de concientización sobre la seguridad de la información.
